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머리말 


위대한 령도자 김정일 동지께서는 다음과 같이 지적하시였습니다. 

《프로그람을 개발하는데서 기본은 우리 식의 프로그람을 개발하는것입 
니다. 우리는 우리 식의 프로그람을 개발하는 방향으로 나가야 합니다.》 

(《김정일 선집》제 15권，196폐지) 

지금 우리 나라에서는 지식경제시대의 요구에 맞게 정보산업을 자립적 
으로 건설하고 발전시키기 위한 투쟁이 광범히 벌어지고있으며 이 과정에 
핵심기술의 집합체인 우리 식 조작체계개발사업에서 커다란 성과들이 이 
룩되고있습니다. 이려한 우리 식의 조작체계에 우리 식의 보안을 실현하 
는것은 과학기술발전에서 주체를 세우고 나라의 방위력을 강화하기 위하 
여 절실하게 제기되는 매우 중요한 문제입니다. 

《붉은별》봉사기용체계 3.0 판에서는 보안조작체계를 리용하여 우리 식 
의 보안방책을 작성하여 실현함으로써 기밀성과 완전성을 우리 식으로 확 
고히 보장하고있습니다. 

이 사용지도서는 〈〈붉은별》봉사기용체계 3.0 판을 처음으로 사용하는 
보안관리자들이 보안방책을 자체의 실정에 맞게 작성하여 사용할수 있도 
록 하기 위하여 작성한 지도서입 니다. 이 지도서 에서는 보안조작체계개념 
과 보안방책지령들의 기초로부터 시작하여 간단한 실례들을 줌으로써 보 
안관리자들이 자체로 해당 기관의 특성 에 맞게 보안방책을 작성하거나 수 
정할수 있도록 준비하는데 도움을 줌니다. 

제 1 장에서는 보안조작체계에 대한 개념을 서술합니다. 

제 2장에서는 보안방책의 원리들을 보안조작체계의 문맥과 결부하여 서 


술합니다. 



제 3 장에서는 보안조작체계에서 리용하는 보안방법들의 류형을 2가지로 
분류하고 설 명합니 다. 

제 4 장에서 는 보안조작체계의 구성 과 관리 에 대하여 구체 적 으로 서 술합 
니 다. 

제 5, 6장에서 는 자체 로 방책 작성 을 할수 있는 기 초를 주기 위 하여 보안 
방책들의 간단한 실례를 들어 해설합니다. 

제 7 장에서는 보안조작체계사용에서 제기되는 일련의 문제들을 취급하 
였습니다. 
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제 1 장 소개 


보안조작체 계 (SELinux) 는 봉사기핵 심 부에 서 강제접 근조종 (MAC) 을 실 현 
한것 입 니 다. 보안조작체계를 리용하면 봉사기 체계내 에서 화일들과 프로쎄 
스들, 그의 조작들에 대한 규칙들을 정의한 방책에 의하여 보안을 강화할 
수 있습니다. 

보안조작체계를 사용할 때 등록부와 장치들을 포함한 모든 화일들은 다 
객체로 간주되며 사용자가 실행하는 지령이나 웨브열람기와 같은 프로쎄 
스들은 다 주동체로 간주됩니다. 대부분의 조작체계들은 주동체가 객체들 
과 호상작용하는 방법과 주동체들의 호상작용방법을 조종하는 자유접근조 
종 (DAC) 체계를 사용합니다. 자유접근조종을 사용하는 조작체계들에서 사 
용자들은 소유자가 자기 의것 으로 되 여있는 화일들(객 체 들)에 대 한 허 가권 
한을 조종합니다. 즉 사용자들은 자기의 사용자등록부를 모두가 열람도록 
할수 있는데 이 경우 사용자들과 프로쎄스들(주동체들)은 중요한 정보들 
에 접근할수 있으며 결국 사용자가 요구하지 않은 조작들에 대한 방지가 
전혀 진행되지 않습니다. 

강력한 체계보안을 위 해서 는 자유접 근조종 하나만에 의 존하는것 이 좋지 
않다. 자유접 근조종접 근판정 들은 사용자신분정 보와 소유권 에만 기 초하며 
다른 보안관련정보인 사용자의 역할, 프로그람의 기능과 신뢰성, 자료의 
민감성 과 완전성 등은 무시합니 다. 매 사용자는 표준적 으로 자기 의 화일 
들에 대 해서 는 조작의 완전한 자유를 가지 는데 이 로 하여 체 계전반적 인 
보안강화가 어 려 워집 니 다. 더우기 사용자에 의하여 실행되 는 모든 프로그 
람들은 그 사용자에게 부여된 모든 권한들을 계승하여 사용자의 화일들에 
대 한 접 근을 자유로 변경시 킬수 있습니 다. 
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다음 실례는 보안조작체계를 실행하지 않는 봉사기조작체계에서 사용되 
는 허가권한들의 실례입니다. Is -1지령을 사용하면 화일의 허가권한들을 
볼수 있습니다. 

$ Is -1 filel 

- rwxrw - r -- 1 userl group 1 0 2012-08-30 11:03 filel 
이 실례에서 첫 세개의 허가권한비트들인 rwx 는 봉사기의 userl 사용자 
(이 경우에는 소유자)가 filel 에 대하여 가지는 접 근을 조종합니 다. 다음의 
세개의 허 가권한비 트들인 m - 는 봉사기의 groupl 집 단이 filel 에 대하여 가 
지는 접근을 조종합니다. 마지막 세개의 허가권한비트들인 r -- 는 모든 그 
밖의 사용자들이 filel 에 대하여 가지는 접근을 조종하는데 이때 그밖의 
사용자들에 는 모든 사용자들과 프로쎄 스들이 포함됩 니 다. 

보안조작체계 에서 는 봉사기 핵심 부에 강제 접 근조종 ( MAC ) 기 능을 추가하 
며 《붉은별》봉사기 용체 계 3.0 판에 서 기 정 으로 시 행 됩 니 다. 일 반적 인 강 
제접 근조종구성 방식에서 는 체계의 모든 프로쎄스들과 화일들에 대 한 관리 
적모임의 보안방책을 강화하는 능력이 필요하며 이것은 각종 보안관련정 
보들을 포함하는 표식 들에 기 초하여 접 근판정 을 진 행합니 다. 강제접 근조 
종이 정 확히 실현되 면 체계가 자체률 충분히 방어할수 있게 하며 보안관 
련응용프로그람들을 부당하게 변경시키거나 악성코드들이 그것을 우회하 
는것 을 방지 함으로써 응용프로그람에 대 한 강력한 보안을 제 공합니 다. 강 
제접 근조종은 신뢰할수 없는 응용프로그람들이 안전하게 실행되 게 하는 
강력한 응용프로그람분리 기능을 제 공합니 다. 실 행 중의 프로쎄 스들과 관련 
된 특권준위들을 제한하는 능력은 응용프로그람들과 체계봉사들에서의 취 
약점 을 악용하는것 으로 하여 초래 될 수 있는 잠재 적 인 손상범 위률 제 한합 
니다. 강제접 근조종은 제 한된 권 한을 가진 합법 적 인 사용자로부터 정 보가 
보호될수 있게 하며 마찬가지로 무의식적으로 악의적 인 응용프로그람들을 
실행한 사용자로부터 도 정 보가 보호될수 있게 합니 다. 
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다음 실례는 보안조작체계 를 사용하는 봉사기 조작체계들에 서 프로쎄스 
들과 봉사기사용자들, 화일들에 사용되는 보안관련정보들을 포함하는 표 
식들의 한가지 실례입니다. 이 정보는 보안조작체계문맥 (SELinux Context ) 
이 라고 불리우는데 이 것은 ls-Z 지 령 을 사용하면 알수 있습니 다. 

$ Is -Z fflel 

- rw - rw - r --. kkh kkh user _ u : object 一 r : user _ home _ t:sO fflel 

이 실례에서 보안조작체계는 사용자 ( user _ u ), 역할 ( object _ r ), 형 
( user _ home _ t ), 준위 ( sO ) 를 제 공합니 다. 이 정 보는 접 근조종을 결 정 하는데 
사용됩 니 다. 자유접 근조종에 서 는 봉사기 사용자와 집 단正)들에 만 기 초하여 
접 근이 조종됩 니다. 중요한것 은 보안조작체 계 규칙 들이 자유접 근조종규칙 
들 다음에 검 사된다는것 입 니 다. 보안조작체 계규칙 들은 자유접 근조종규칙 
들이 접근을 거부한다면 사용되지 않습니다. 

봉사 기 체 계 와 보 안 조 작체 계 사용자 

보안조작체 계 를 실 행 하는 봉사기 조작체 계 들에는 봉사기 사용자들이 있으 
며 이와 마찬가지로 보안조작체계사용자들도 존재합니 다. 보안조작체계사 
용자들은 보안조작체 계 방책 부분품입 니 다. 봉사기 사용자들은 보 안조작체 계 
사용자들과 대 응됩 니다. 혼잡을 피 하기 위 하여 이 지 도서 에 서 는 봉사기 사 
용자와 보안조작체계사용자라는 술어를 사용하여 두 개념을 구별합니다. 

제 1 절 보안조작체계의 우점 

모든 프로쎄스들과 화일들에는 하나의 형태를 가전 표식이 붙습니다. 
프로쎄 스들에 할당되 는 표식 은 령 역 ( Domain ) 이 라고 정 의 하고 화일들에 할 
당되는 표식은 형 ( Type ) 이라고 정의합니다. 프로쎄스들은 자기의 령역내에 
서 실행됨으로써 서로 구분되며 보안조작체계규칙들은 프로쎄스들이 어떻 
게 화일들과 호상작용하는가를 정의하고 마찬가지로 프로쎄스들이 어떻게 
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다른 프로쎄스들과 호상작용하는가를 정의합니다. 접근은 그것을 명확히 
허 가하는 보안조작체 계 규칙 들이 존재 하는 경 우에 만 허 가됩 니 다. 

보안조작체 계 규칙 은 관리 적 인 관점 에 서 정 의 되 고 체 계 전 반적 인 것 으로써 
사용자가 자유롭게 설정할수 없습니다. 

또한 특권준위확대공격들에 대한 취약점을 감소시컵니다. 한가지 실례 
로 프로쎄스들이 자기의 특정의 령역들에서 실행되기때문에 따라서 서로 
분리 되 며 보안조작체 계 규칙 들에 서 프로쎄 스들이 화일들과 다른 프로쎄 스 
들에 어떻게 접근하는가를 정의하기때문에 만일 한 프로쎄스가 공격당하 
면 공격자는 그 프로쎄스의 일반기능에 대한 접근과 프로쎄스가 접근할 
수 있는 구성화일들에 대한 접근만을 가집니다. 실례로 만일 Apache 
HTTP 봉사기 가 공격당하면 공격 자는 사용자등록부들내의 화일들을 읽 는데 
그 프로쎄스를 사용할수 없으며 이 것은 특정한 보안조작체계규칙들이 추 
가되 거 나 그러 한 접 근을 허 가하도록 구성 하지 않았으면 불가능합니 다. 

보안조작체계는 자료의 기밀성과 완전성을 강화하는데 사용될수 있으며 
마찬가지 로 신뢰 되 지 않는 입 력 물로부터 프로쎄 스들을 보호합니 다. 

그러나 보안조작체계는 명백히 다음과 같이 생각해서는 안됩니다. 

- 반비루 스쏘프트웨어 

- 통과암호처리 

- 방화벽 혹은 기타 다른 보안체계의 교체물 

- 모든것이 하나로 묶어진 보안해결책 

보안조작체계는 현존 보안해결책들의 향상을 위하여 설계되였지 완전한 
대책이라고 말할수는 없습니다. 보안조작체계를 실행하고있다고 해도 전 
통적인 보안규정들을 계속 유지하여야 합니다. 즉 반비루스왁찐을 최신판 
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본으로 유지하고 예즉불가능한 통과암호들을 사용하여야 하며 방화벽 등 
을 갖추어 야 합니다. 


제 2 절 보안조작체계의 간단한 실례 

다음의 실례들은 보안조작체계가 어떻게 보안을 향상시키는가를 보여줍 
니 다. 

보안조작체계의 기정동작은 거부입니다. 만일 어떤 화일을 여는 프로쎄 
스에 대하여 본다면 접근을 허가하는 보안조작체계방책이 존재하지 않을 
때에 접근은 거부됩니다. 

보안조작체 계 는 봉사기 사용자들을 제 한합니 다. 보안조작체 계 방책 에 는 
많은 제 한된 보안조작체계 사용자들이 존재 합니 다. 실례로 봉사기 사용자를 
보안조작체 계 의 user _ u 사용자에 로 대 응시 키 면 sudo 와 su 와 같은 사용자 ID 
설정 ( setuid ) 프로그람들을 실 행 할수 없는 봉사기 사용자로 됩 니다. 마찬가지 
로 사용자들이 자기의 사용자등록부에서 화일들과 응용프로그람들을 실행 
하지 못하게 합니다. 이와 같이 설정되는 경우에는 사용자들이 자기의 사 
용자등록부들로부터 악의 적 인 화일 들을 실 행 하지 못하게 됩 니다. 

다음으로 보안조작체 계 는 프로쎄 스분리 를 실현 합니 다. 프로쎄 스들은 자 
기의 령역내에서 실행되며 프로쎄스들이 다른 프로쎄스들이 사용하는 화 
일들에 접근하지 못하도록 합니다. 마찬가지로 프로쎄스들이 다른 프로쎄 
스들에 접근하지 못하게 합니다. 보안조작체계는 구성상 실수로 인한 손 
실을 제한해줌니다. 령 역이름체계 ( DNS ) 봉사기들은 서로 정보들을 자주 반 
복응답하는데 그로 하여 지 역 이 동 (zone transfer ) 이 있게 됩 니 다. 공격 자들 
은 지역이동들을 리용하여 거짓정보를 가지고 DNS 봉사기들을 갱신할수 
있습니다. 《붉은별》봉사기용체계 3.0 판에서 DNS 봉사기와 같은 Berkeley 
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Internet Name Domain ( BIND ) 을 실행 할 때 관리 자가 만일 어 느 봉사기 가 지 
역 이동을 할수 있는가를 제한하는것을 잊 어버리는 경우 기정의 보안조작 
체 계방책 은 mND 의 named 대몬자체 와 다른 프로쎄 스들에 의한 지 역 이 동 
들을 통하여 지역 ( zone ) 화일들이 갱신되는것을 막아줌니다. 

제 3 절 보안조작체계의 구성방식 

보안조작체 계 는 핵 심 부에 내 장된 하나의 보안모둘입 니 다. 보안조작체 계 
는 적재가능한 방책들에 의하여 실현됩니다. 보안관련접근이 발생할 때 
즉 어떤 프로쎄스가 어떤 화일을 열려고 할 때 그 조작은 보안조작체계에 
의하여 핵심부에서 차단되게 됩니다. 만일 어떤 보안조작체계의 방책규칙 
이 그 조작을 허가한다면 조작이 계속되게 되며 그렇지 않으면 조작이 차 
단되 여 그 프로쎄스는 오유를 되돌려받습니다. 

보안조작체계판정들 즉 접근의 허가나 거부와 같은것들은 고속완충기 억 
( cache ) 됩 니 다. 이 고속완충기 억 기를 접 근벡토르고속완충기 ( AVC ) 라고 합 
니다. 판정 결과를 완충기억 하는것 은 보안조작체계규칙 들을 판정하는 빈도 
수를 감소시키며 성능을 증가시키 기 위해서 입 니다. 보안조작체계규칙 들은 
자유접근조종규칙이 처음부터 접근을 거절하는 경우에는 효과가 없다는것 
을 잊지 말아야 합니다. 
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제 2 장 보안조작체계의 문맥 


프로쎄스들과 화일들에는 하나의 보안조작체계문맥을 가진 표식들이 붙 
여지게 되는데 이 보안문맥에는 보안조작체계의 사용자, 역할, 형 그리고 
준위(선택가능)와 같은 추가적인 정보들이 포함되여있습니다. 보안조작체 
계를 실행할 때 이 모든 정보들은 접근조종판정들을 산출하기 위하여 리 
용됩 니다. 《붉은별》봉사기 용체 계 3.0 판에 서 보안조작체 계 는 역 할기 초의 
근조종 ( RBAC ), 형 시 행 ( TE ), 그리 고 추가적 으로 다중준위보안 ( MLS ) 들이 결 
합된 하나의 결합물을 제공합니다. 

아래 에 보안조작체계문맥을 보여주는 실례가 있습니 다. 

보안조작체 계문맥 들은 보안조작체 계 를 실 행 하는 봉사기 조작체 계 들에 서 
프로쎄스들과 봉사기사용자들, 화일들에 대하여 적용됩니다. 화일들과 등 
록부들의 보안조작체계문맥을 보려면 Is -Z 지 령을 사용하여 야 합니다. 

$ Is -Z fflel 

- rw - rw - r —. kkh kkh user _ u : object _ r : user _ home _ t : s 0 filel 

보안조작체계문맥들은 보안조작체계의 《사용자:역할:형:준위》라는 문법 
에 따릅니다. 

보안조작체계사용자 

보안조작체 계 사용자신 분정 보는 고유한 역 할모 임 에 대 한 권 한과 고유한 
MLS 범 위 에 대 한 권한을 가전 방책 으로 알려진 신분정 보입 니 다. 매 봉사 
기 사용자는 보안조작체 계방책 을 통하여 하나의 보안조작체 계사용자에 대 
응됩 니다. 대응된 보안조작체계사용자신분정 보는 그 쎄션에서 프로쎄스들 
에 대한 보안조작체계문맥에 사용되며 그것은 사용자들의 역할과 그들이 
활동할수 있는 준위를 정의하기 위해서입니다. 보안조작체계와 봉사기사 
용자들의 계산자리사이 의 대 응목록을 보려 면 봉사기 체계의 root 사용자로 
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semanage login -1 지 령 을 실 행 시 키 면 된다(그림 1). 《붉은별》봉사기 용체 계 
3.0 판에서는 이 지령을 보안관리자역할 ( secadm _ r ) 을 가진 root 관리자만이 
실행할수 있습니 다 (3 장 2 절 참고). 편리상 보안관리 자역 할을 가진 root 관 
리자를 보안관리자, 체계관리자역할 ( sysadm _ r ) 을 가진 root 관리자를 체계관 
리자라고 서술합니다. 


요붉은벌요 봉사기용제계 3.0 판 

핵심부 2.6.32-120727. RSS3. i686 (i686) 
localhost login ： root 
Password : 

Last login ： Ued Dec 12 11:38:21 on tty2 

[root©localhost neurole -r secadn_r 

암호 : 

[root®localhost id -Z 

root : secadn_r : secadn_t : sO - sl5 : c0.cl023 

[rootelocalhost semanage login 一 1 

가 입 사 용 자 이 름 보 안 리 눅 스 사 용 자 MLS/MCS 범 °| 

— default _ user_u s0 

root root sO - s15 ： cO.c1023 

systen_u systen_u sO-s15:cO.c1023 

testuser xguest_u sO 

[rootelocalhost 


그림 i . 봉사기 사용자와 보안조작체 계 사용자사이 의 대 응관계 

그림 1 에서 《가입사용자이름》렬은 봉사기사용자들을 목록화하며 〈〈보 
안조작체 계 사용자》렬은 봉사기 사용자에 어 느 보안조작체 계 사용자가 대 응 
되 는가를 목록화합니 다. 프로쎄 스들에 대 해서 보안조작체계 사용자는 접 근 
할수 있는 역 할과 준위 를 제 한받게 됩 니다. 마지 막 렬 인 《 MLS / MCS 범 위》 
렬 은 다중준위보안 ( MLS ) 과 다중종류보안 ( MCS ) 이 사용하는 준위입 니 다. 

역할 

보안조작체계의 중요부분은 역 할기 초의 접 근조종 ( RBAC ) 모형입 니 다. 여 
기 서 역 할이 라는것 은 역 할기 초의 접 근조종에 서 리용하는 보안속성 입 니 다. 
보안조작체계사용자들은 역할들에 대한 권한을 가지고있으며 역할들은 령 
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역들에 대하여 권한을 가지고있습니다. 이려한 역할은 령역들과 보안조작 
체계사용자들사이의 내용물로서 봉사합니다. 역할들은 어느 령역에 들어 
갈수 있는가를 결정하며 결국 이것은 어떤 형의 객체들에 접근할수 있는 
가를 조종합니다. 이것은 특권준위확대공격들에 대한 취약점을 줄이는데 
도움이 되는것입니다. 

형 

형 이 라는것은 형시 행 에서 리용하는 보안속성 입 니다. 형은 프로쎄스들에 
대하여서는 령역을 정의하며 화일들에 대하여서는 형을 정의합니다. 보안 
조작체계규칙(형시행규칙)들은 형들이 서로 접근할수 있는 방법을 정의하 
고있습니다. 즉 그것이 형에 접근하는 령역인가 혹은 다른 령역에 접근하 
는 령역인가률 정의합니다. 접근은 그것을 허가하는 고유한 보안조작체계 
규칙 이 존재하는 경우에만 허가됩니다. 

준위 

이 준위 라는것 은 다중준위 보안과 다중범 주 ( Category ) 보안에 서 리 용하는 
보안속성 입 니 다. 다중준위보안에서 리용하는 범위는 준위의 쌍으로서 준 
위들이 차이나면 〈〈낮은준위-높은준위》로 쓰고 준위들이 동등하면《낮은 
준위》로 쓴다 ( sO-sO 은 sO 과 같다). 매 준위는 기밀성준위 ( Sensitivity )- 범주 
( Category ) 의 쌍으로 이 루어 지 는데 범 주들을 추가선 택 적 으로 가질수 있습 
니다. 만일 범 주들이 있다면 그때 준위 는《기 밀성 준위 :범 주모임》으로 작 
성됩니다. 범주들이 없는 경우에는《기밀성준위》로 작성됩니다. 

만일 범 주모임 이 련속적 인 계 렬 이 라면 간략하여 표시할수 있습니 다. 실 
례 로 c 0. c 3 은 c 0, cl , c 2, c 3 과 같습니다. / etc / selinux / togeted / setrans.conf 화일 은 
준위 들인 ( sO : cO ) 을 사람이 리 해 하기 쉬 운 형 태 (즉 CornpanyConfidential ) 에 
대 응시컵 니 다. 분문편집 기 로 s 的 • am.conf 화일을 편집 하지 말아야 하며 변 
경시키 려면 semanage 를 사용하여 야 합니다. 이 에 대하여서는 semanage 에 
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대한 안내폐지를 참고할수 있습니 다.〈〈붉은별》봉사기용체계 3.0 판에서 다 
중범주보안은 1024개 의 서 로 다른 범 주들, 즉 c0 부터 C1023 까지 를 지 원 합 
니다. s0-s0:c0.cl023 은 기 밀성 준위 s0 이 며 모든 범 주들에 대 하여 권한을 
가진 다는것 입 니 다. 

다중준위보안은 Bell - LaPadula 모형 을 강화한것 으로서 《역 할기 초의 접 근 
조종에 대 한 보호프로화일》 ( LSPP ) 의 환경변 수들에 서 사용됩 니 다. 다중준 
위 보 안을 리 용하기 위 해 서 는 selinux - policy - mis 패 키 지 를 설 치 하여 야 하며 
다중준위보안이 기정의 보안조작체계방책이 되도록 구성하여야 합니다. 
《붉은별》봉사기 용체계 3.0 판에는 MLS 전용방책을 제 공하지 않습니 다. 
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제 1 절 령역 이행 

새로운 령역에 대하여 입구점 ( entrypoint ) 형을 가지는 어떤 응용프로그람 
을 실행시키 면 한 령역 에서의 프로쎄 스가 다른 령역 으로 이 행합니 다. 입 
구점실행권한은 보안조작체계방책에서 어떤 령역에 들어가는데 어느 응용 
프로그람이 사용될수 있는가를 조종합니다. 다음의 실례는 령 역이행에 대 
하여 설명해줍니다. 


1. 사용자는 자기 들의 통과암호를 변경하려 고 합니 다. 그러 자면 passwd 
응용프로그람을 실 행 시 켜 야 합니 다. / usr / bin/passwd 라는 실 행 가능화일 은 
passwd _ exec_t 형 으로 표식되여 있습니 다. 


# Is -Z / usr / bin/passwd 

- rwsr - xr-x root root system _ u : object _ r : passwd _ exec _ t:sO / usr / bin/passwd 

passwd 응용프로그람은 / etc/shadow 에 접근하는데 

오로 표식 되 여있습니 다. 

# Is -Z / etc/shadow 

이 화 일은 shadow_t 형 

- . root root system_u :objec t _ r : shado w _ t : sO 

/ etc/shadow 


2. 보안조작체계방책규칙 에는 passwdj 령 역 에서 실행되는 프로쎄 스들이 
shadow_t 형 으로 표식 된 화일 들을 읽 거 나 쓰기할수 있는가 하는 허 가권 한 
이 서 술됩 니다. shadow_t 형 은 통과암호변 경 을 위 하여 요구되 는 화일들에 만 
적용됩니다. 여기에는 / etc / gshadow , / etc/shadow 그리고 이것들의 여벌복사 
화일들이 포함됩니다. 

3. 보안조작체 계 방책 규칙 에 는 passwd _ t ^ 역 이 passwd _ exec_t 형 에 입 구점 
실 행 권 한을 가진 다는것 이 서 술됩 니 다. 

4. 어떤 사용자가 / usr / bin/passwd 응용프로그람을 실행시킬 때 사용자의 
쉘프로쎄 스는 P asswd_t 령 역 에 로 이 행 합니 다. 보안조작체 계 를 실 행 하고있으 
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면 기 정동작은 거부하는것 이 기때문에 passwd_t 령역 에서 실행되는 응용프 
로그람들에 서 shadow_t 형 으로 표식된 화일들에 접 근할수 있게 하는 어떤 
규칙 이 존재하며 따라서 passwd 응용프로그람은 / etc/shadow 에 접근할수 있 
고 사용자의 통과암호를 갱신할수 있습니다. 

이 실례는 단지 령역이행을 설명하기 위한 기초실례로 사용됩니다. 비 
록 passwd _^ 역 에서 실행되 는 주동체들이 shadow_t 화일형 태 로 표식 된 객 
체들에 접근할수 있도록 허가하는 어떤 실제적인 규칙이 있다고 해도 그 
주동체 가 새로운 령역 에로 이 행 할수 있기 전 에 다른 보안조작체계방책규 
칙 들이 맞물려져 야 합니 다. 이 실례 에서 형 시 행은 다음과 같은것들을 담 
보합니다. 

- passwd _^ 역 에는 passwd _ exec_t 형 으로 표식된 응용프로그람을 실행 
하여 야만 들어 갈수 있고 lib_t 형 으로 권한이 부여된것은 공유서고들 
로부터만 실행될수 있으며 임의의 다른 응용프로그람들로부터는 실 
행할수 없습니 다. 

- 같은 권한이 부여된 령역들만이 shadow_t 형으로 표식된 
화일들에 쓰기할수 있습니 다. 지 어 다른 프로쎄 스들이 상급사용자 
권한을 가지고 실행되고있다고 해도 그 프로쎄스들은 shadow_t 형으 
로 표식된 화일들에 쓰기를 할수 없으므로 passwdj 령역 에서 실행 
되지 않습니다. 

- 권한이 부여 된 령 역 들만이 passwd _^ 역 에 이 행 할수 있습니 다. 실 례 
로 sendmail_t 령 역 에서 실행되 고있는 sendmail 프로쎄스는 passwd 를 
실행할 합법 적 인 리유가 없기때문에 따라서 passwd_t 령역 에 절대로 
이행할수 없습니다. 

- passwd _^ 역 에서 실행되 고있는 프로쎄스들은 etc_t 나 shadow_t 형 으 
로 표식된 화일들과 같은 권한이 부여된 형태들에 대하여서만 읽거 
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나 쓰기를 진행할수 있습니다. 이렇게 하면 passwd 응용프로그람이 
속임수로 임의의 화일을 읽거 나 쓰기할수 없게 할수 있습니다. 


제 2 절 프로쎄스에 대한 보안문맥 

프로쎄 스들에 대 한 보안조작체 계 문맥 을 보려 면 ps -eZ 지 령 을 리용하여 
야 합니다. 실례는 다음과 같습니다. 

1. 가상말단 ( ttyl ) 에 서 / usr / bin/passwd 지 령 을 실 행 합니 다. 새 로운 통과암호 
는 입 력하지 않습니 다. 

2. 다른 가상말단 ( tty 2) 에 서 ps -eZ I grep passwd 지 령 을 실 행 합니 다. 출력 은 
다음과 같이 나올수 있습니다. 

root : sysadm _ rpasswd _ t : sO-s 15 : c 0. c 1023 4129 ttyl 00:00:00 passwd 

3 . 가상말단 ( ttyl ) 에서 ctrl+c 건을 늘러 passwd 응용프로그람을 취소시킵니 
다. 

이 실 례 에 서 / usr / bin/passwd 응용프로그람 ( passwd _ exec_t 형 으로 표식 된 것 
임)이 실행될 때 체계관리자의 쉘프로쎄스는 passwdj 령역 에로 이 행됩 니 
다. 이때 이 형은 프로쎄스들에 대해서는 령역을 정의하며 화일들에 대해 
서는 형을 정의한다는것을 명심하여야 합니다. 

실 행되 고있는 프로쎄 스들에 대 한 보안조작체계문맥 들을 보려 면 ps -eZ 
지령을 사용하여야 합니다. 

system _ u : system _ r : local _ login _ t : s 0- sl 5: c 0. cl 023 2346 ? 00:00:00 login 
root : system _ r : vs ftp d_t : s 0- s 15 : c 0 .c 1023 3657 ? 00:00:00 vsflpd 
system _ u : system _ r : local _ login _ t : s 0- sl 5: c 0. cl 023 4142 ? 00:00:00 login 
root : sysadm _ r : sysadm _ t : s 0 -s 15 : c 0 .c 1023 4147 tty 2 00:00:00 bash 
root : sysadm _ r : sysadm _ t : s 0- sl 5: c 0. cl 023 4238 ttyl 00:00:00 bash 
root : sysadm _ r : sysadm _ t : s 0- sl 5: c 0. cl 023 4268 ttyl 00:00:00 ps 
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역 할 system_r 는 체 계 프로쎄 스들 즉 대 몬들과 같은것 들에 사용됩 니 다. 
그러 면 형시 행은 매 령역들을 갈라놓게 됩 니다. 

제 3 절 사용자에 대한 보안문맥 

봉사기 사용자와 관련된 보안조작체계문맥 을 보려 면 id-Z 지 령 을 사용하 
여야 합니다. 

다음의 실례는 targeted 형보안방책 에서 의 사용자의 보안문맥을 보여 줍니 
다. 

unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 

이 것은 《붉은별》봉사기 용체 계 3.0 판에서 targeted 형보안방책을 시 행하 
는 경우 봉사기사용자들은 기정으로 제한을 받음이 없이 실행된다는것을 
보여 줍니 다.. 

우의 보안조작체 계 문맥 은 봉사기 사용자가 unconfined_u 사용자에 대 응되 
여있는것을 보여주며 역할 unconfined_r5. 실행되고 또 령역 unconfined_t 
에서 실행되 고있다는것을 보여줍니다. 이 경 우 s 0- s 0 은 MLS 범 위 를 가리 
키며 s 0 이나 같습니다. 사용자가 접근권한을 가지고있는 분류들은 
c0.cl023 으로 정의되 며 이 것은 모든 분류 (c0 부터 C1023 까지)를 의미합니 
다. 

다음의 실례는 rss 형보안방책 에서의 사용자의 보안문맥을 보여 줌니 다. 
root:sysadm_r:sysadm_t:s0-sl5.c0.cl023 

이 것은 〈〈붉은별》봉사기 용체계 3,0판에 서 : rss 형보안방책을 시 행하는 경 
우 봉사기 사용자는 기 정 으로 체계관리 자역 할을 할당받아 실 행된다는것을 
보여 줍니 다. 
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우의 보안조작체계문맥은 봉사기사용자가 체계에 기정으로 가입할 때 
보안조작체 계 사용자 root 에 대 응되 여 있 다는것 을 보여주며 역 할 sysadm _ r 5. 
실 행 되 고 또 령 역 sysadm _ t 에 서 실 행 되 고 있 다는것 을 보여 줍니 다. 이 실 례 
에 서 s 0- sl 5 은 MLS 범 위 를 가리키 며 사용자가 접 근권한을 가지 고있는 범 
주모임은 c 0. cl 023 으로 정의되 여있습니 다. 

《붉은별》봉사기용체계 3.0 판에서 제공하고있는 targe ted 형 보안방책과 rss 
형보안방책 에 대하여 서 는《제 3 장 보안방책의 류형》에서 구체 적 으로 설 
명 합니 다. 
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제 3 장 보안방책의 류형 

제 1절 targeted 형 보안방책 

targeted 형 방책 (목표지 정 형 )은《붉은별》 3.0 봉사기 용체 계 에 서 사용되 는 선 
택 가능한 보안조작체계 방책입니다. targeted 방책을 사용할 때 접근조종의 
대상으로 되는 ( targeted ) 프로쎄 스들은 제한을 받는 령 역 에서 실행되 며 
targeted 가 아닌 프로쎄스들은 제한을 받지 않는 령 역 에서 실행됩 니 다. 실 
례 로 기 정 으로 가입 된 사용자들은 령 역 unconfined_t 에서 실행 되 며 init 에 
의하여 기 동된 체계프로쎄스들은 령 역 initrc_t 에서 실행되 고 이 령역 들은 
모두 제한을 받지 않습니다. 

제 한을 받지 않는 령역들(제한받는 령역들도 마찬가지 입 니 다.)은 실행, 
쓰기할수 있는 기억기검사를 진행하는 주동체로 됩니다. 기정으로 제한을 
받는 령역 에서 실행되 고있는 주동체들은 쓰기 가능한 기 억기를 할당할수 
없으며 그것을 실행할수 없습니 다. 이 렇게 하면 완충기 자리넘 침공격 에 대 
한 취 약점을 감소시킬수 있습니다. 

1. 제 한을 받는 프로쎄스 

망에 대하여 청취하는 거의 모든 봉사들은 〈〈붉은별》봉사기용체계 3.0 
판에서 제한을 받습니다. 또한 passwd 응용프로그람과 같이 봉사기체계의 
root 사용자로서 실 행 되 며 사용자들을 위한 과제 들을 집 행 하는 대 부분의 
프로쎄스들은 제한을 받습니다. 어떤 프로쎄스가 제한을 받을 때 그 프로 
쎄스는 자기 자체의 령역 에서 실행되 게 됩 니다. 즉 httpd 프로쎄스는 령 역 
httpd_t 에서 실행됩니다. 만일 제한을 받는 프로쎄스가 공격자에 의하여 
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변이된 경우 보안조작체계방책구성에 따라 공격자의 자원에로의 접근과 
공격자에 의해서 일어날수 있는 손상범위가 제한을 받게 됩니다. 

다음의 실례는 보안조작체계가 어떻게 Apache HTTP 봉사기 ( httpd ) 에서 
Samba 가 사용하는 화일들과 같이 정확한 표식이 붙여지지 않은 화일들을 
읽 지 못하게 할수 있는가를 보여줍니다. 여 기서는 httpd 와 wget 패 키 지들이 
설치 되 여있고 보안조작체계 의 targeted 방책 이 사용되 고있으며 보안조작체 
계가 시 행방식 에서 실행되 고있다고 가정합니 다. 

1) 보안조작체계 가 사용가능하며 그것 이 시 행방식 에서 실행되 고있는가, 
targeted 방책 이 사용되 고있는가를 확인하기 위 하여 sestatus 지 령 을 실 행 합니 
다. 


$ / usr / sbin/sestatus 
SELinux status : 
SELinuxfs mount : 
Current mode : 

Mode from config file : 
Policy version : 

Policy from config file : 


enabled 
/selinux 
enforcing 
enforcing 
24 。 

targeted 


보안조작체계가 사용가능하면 SELinux status : enabled 가 되돌려지 며 보안 
조작체계가 시행방식에서 실행되고있을 때 Current mode : enforcing 이 되돌 
려집 니다. 또한 보안조작체계의 targeted 방책이 사용되고있으면 Policy from 
config file : targeted 가 되 돌려집 니 다. 


2) 봉사기 체 계 의 root 사용자로 touch AvarAvww / html/testfile 지 령 을 실 행 하여 
화일 을 하나 만듭니다. 


3 )Is -Z 广 vaiVwww / html/testfile 지 령을 실행하여 보안조작체계문맥을 봅니 
다. 


- rw - r -- r -- root root unconfined _ u : object _ r : httpd _ sys _ content _ t : s 0 / var/www 
/ html/testfile 


19 



기 정 으로 봉사기 사용자들은〈〈붉은별》 3.0 봉사기 용체계 에서 제 한을 받지 
않고 실행되 는데 그 리 유는 testfile 에 보안조작체계의 사용자 unconfined_u 
로 표식되 여있기때문입 니 다. 프로쎄스들에 대 해서 는 RBAC 가 사용되 며 화 
일들에 대해서는 사용되지 않습니다. 역할들은 화일들에 대하여 의미를 
가지지 않으며 화일들(영구보관소와 망화일체계상에 있는 화일들)에 대해 
서는 일반적 인 역할인 object_r 역할이 사용됩니다. / proc / 등록부아래에 있는 
프로쎄스에 관련되는 화일들은 역할 systemj •를 사용할수 있습니다. 형 
httpd _ sys _ content_r 는 httpd 프로쎄스가 이 화일들에 접근할수 있게 합니다. 

4) 봉사기 체계의 root 사용자로서 service httpd start 지 령 을 실행시 켜 httpd 프 
로쎄스률 기동합니다. 

# / sbin/service httpd start 

Starting httpd : [ OK 

] 

5) 봉사기사용자가 쓰기권한을 가지고있는 등록부로 가서 지령 wget 
http :// localhost/testfile 을 실 행 합니 다. 기 정 구성 을 변 경 시 키 지 않는 경 우 이 
지령은 성공적으로 실행됩니다. 

-2012-11-06 17:43:01— httpy/localho st/testfile 

Resolving localhost ... 127.0.0.1 

Connecting to localhostl 127.0.0.11:80... connected . 

HTTP request sent , awaiting response ... 200 OK 
Length : 0「 text / plain ] 

Saving to : 、 testfile ’ 

[ <=> ] 0 --.- K/s in 0 s 

2012-12 17:43:01 (0.00 B / s ) - ' testfile，saved [0/0] 

6) chcon 지 령은 화일들에 표식을 다시 붙인다. 그러 나 이 러한 표식변경 
들은 화일체계의 표식이 다시 붙여질 때에는 없어지게 됩니다. 화일체계 
에 대 한 재표식때에도 남아있는 영 구적 인 변경을 위 해서는 후에 론의하는 
semanage 지령을 사용하여야 합니다. 봉사기체계의 root 사용자로 다음의 지 
령 을 사용하여 그 형 을 Samba 에 의 해 서 사용되 는 형 으로 변 경 시 킵 니 다. 
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chcon -t samba _ share_t / var / www / html/testfile 

Is -Z / var / www / html/testfile 지 령 을 실 행 하여 변 경 사항들을 봅니 다. 

- rw - r -- r -- root root unconfined _ u : object _ r : samba _ share _ t : sO / var / www/html 
/testfile 

7) 현재 의 자유접 근조종허 가권 한으로 httpd 프로쎄 스들이 testfile 에 접 근할 
수 있다는것 을 명 심하여 야 합니 다. 봉사기 사용자가 쓰기접 근권 한을 가지 
는 등록부로 가서 지 령 wget http :// localhost/testfile 을 실 행 합니 다. 기 정 구성 
을 변경하지 않는한 이 지령은 실패하게 됩니다. 

-2012-11-06 14:11:23— http ^/localho st/tes tfile 

Resolving localhost ... 127.0.0.1 

Connecting to localhostl 127.0.0.11:80... connected . 

HTTP request sent , awaiting response ... 403 Forbidden 
2012-11-06 14:11:23 ERROR 403: Forbidden . 

8) 봉사기 체 계 의 root 사용자로 지 령 rm - i / var / www / html/testfile 을 실 행 하 
여 testfile 을 삭제합니 다. 

9) httpd 를 실행할 필요가 없으면 봉사기체계의 root 사용자로 지령 service 
httpd stop 를 실 행 하여 httpd 를 중지 시 킵 니다. 

# / sbin/service httpd stop 

Stopping httpd : [ OK 

] 

이 실례는 보안조작체계 에 추가된 추가적 인 보안들에 대 해서 보여줍니 
다. 비록 자유접근조종규칙들이 단계 7 에서 httpd 프로쎄스가 testfile 에 접근 
할수 있도록 허가하였다 하더라도 그 화일이 httpd 프로쎄스가 접근권한을 
가지 지 못하는 어떤 형 으로 표식 되 여있기 때문에 보안조작체계는 접 근을 
거부하였습니다. 

아래 에 보여 주는것 과 비 슷한 오유가 / var / log / audit / audit.log 에 기 록됩 니 다. 

type=AVC mss = audit (1220706212.937:70): avc : denied { getattr } for 
pid =1904 comm = " httpd " path = M / var / www / html / testfile M dev = sda 5 ino =247 
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576 scontext = unconfined _ u : system _ r : httpd _ t:sO tcontext = unconfined _ u:objec 
t_r : samba _ share _ t : sO tclass=file 

type=SYSCALL msg = audit (1220706212.937:70): arch =40000003 syscall =19 
6 success=no exit =-13 a 0= b 9 e 21 da 0 al = b ©581 dc a 2=555 ff 4 a 3=2008171 
items =0 ppid =1902 pid =1904 auid =500 uid =48 gid =48 euid =48 suid =48 f 
suid =48 egid =48 sgid =48 色 gid =48 tty =( none ) ses=l comm =" httpd M exe =”/ 
usr / sbin / httpd ’’ subj = unconfined _ u : system _ r : httpd _ t:sO key =( null ) 

또한 아래 에 보여 주는것 과 비 숫한 오유가 / var / log / httpd / error _ log 에 기 록 
되게 됩니다. 


rWed Dec 06 23:00:54 20121 [ error ] [client 127.0.0.1] (13 )Permission de 
nied : access to /testfile denied 


2. 제 한을 받지 않는 프로쎄스 

제 한받지 않는 프로쎄스들은 제한받지 않는 령역들에서 실행되는데 실 
례로 init 프로그람들은 제한받지 않는 령역 initrc _ t 에서 실행되고 제한받지 
않는 핵심부프로쎄스들은 령역 kemelj 에서 실행되며 제한받지 않는 봉사 
기사용자들은 령역 unconfined _ t 에서 실행됩니다. 제한받지 않는 프로쎄스 
들에 대하여 보안조작체계방책규칙들이 적용되지만 제한되지 않는 령역들 
에서 실행되는 프로쎄스들이 거의 모든 접근권한을 가지게 하는 방책규칙 
들이 존재 합니 다. 제 한되 지 않는 령 역 들에서 실행되 는 프로쎄 스들은 독점 
적 으로 자유접 근조종규칙 들을 사용하는것 으로 되 돌아갑니 다. 만일 어 떤 
제한받지 않는 프로쎄스가 변이되면 보안조작체계는 공격자가 체계자원들 
과 자료들에 대한 접근권한을 획득하는것을 막을수 없습니다. 그러나 물 
론 자유접 근조종규칙 들은 여 전히 리용됩 니다. 보안조작체계는 자유접 근조 
종규칙들우에서의 보안강화해결책이며 자유접근조종규칙들과 교체되지는 
않습니다. 

다음의 실례는 제한되지 않는 프로쎄스가 실행될 때 어떻게 Apache 
HTTP 봉사기 ( httpd ) 가 Samba 에 의 하여 사용되 도록 되 여 있는 자료들에 접 근 


22 



할수 있는가를 보여 줌니 다 . 《붉은별》봉사기 용체계 3.0 판에서 httpd 프로쎄 
스는 기 정 으로 령 역 httpd_t 에 서 실 행 된다는것 을 명 심 하여 야 합니 다 . 이 것 
은 실례에 불과하며 제품에서는 사용되지 않을수 있습니다 . 여기서는 
httpd, wget, dbus, audit 패키지들이 설치되고 보안조작체계의 targeted 방책이 
사용되 며 보안조작체계 가 시 행방식 에서 실행되 고있다고 가정합니 다 . 


1) 지 령 sestatus 를 실행시 켜 보안조작체계가 사용가능한가 , 그것 이 시 행 
방식 에서 실행되 고있는가 , 보안조작체계 의 targeted 방책 이 사용되 고있는가 
를 확인합니다 . 


$ /usr/sbin/sestatus 
SELinux status: 
SELinuxfs mount : 
Current mode: 

Mode from config file: 
Policy version: 

Policy from config file: 


enabled 
/selinux 
enforcing 
enforcing 
24 。 

targeted 


보안조작체계가 사용가능하면 SELinux status: enabled 가 되돌려지 며 보안 
조작체계가 시행방식에서 실행되고있을 때 Current mode: enforcing 0 ! 되돌 
려 집 니 다 . 또한 보안조작체 계 의 targeted 방책 이 사용되 고있으면 Policy from 
config file: targeted 가 되 돌려집 니 다 . 


2) 봉사기 체 계 의 root 사용자로 지 령 touch AvarAvww/html/test2file 을 실 행 하 
여 화일을 하나 만듭니다 . 


3)Is -Z /var 八 vww/html/test2file 지 령을 실행하여 보안조작체계문맥을 봅니 
다 . 

-rw-r--r-- root root unconfined_u:object_r:httpd_sys_content_t:s0 /var/www 
/html/test2file 

기 정 으로 봉사기 사용자들은〈〈붉은별〉〉 3.0 봉사기 용체계 에서 제 한을 받지 
않고 실행되는데 그 리유는 test2ffle 에 보안조작체계의 사용자 
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unconfined_u 로 표식되 여있기때문입 니 다. 프로쎄스들에 대 해서 는 RBAC 가 
사용되며 화일들에 대해서는 사용되지 않습니다. 역할들은 화일들에 대하 
여 의미를 가지 지 않으며 화일들(영구보관소와 망화일체계상에 있는 화일 
들)에 대해서는 일반적인 역할인 object_r 역할이 사용됩니다. / proc / 등록부아 
래에 있는 프로쎄스에 관련되는 화일들은 역할 systems # 사용할수 있습 
니다. 형 httpd _ sys __ content_r 는 httpd 프로쎄스가 이 화일들에 접근할수 있게 
합니 다. 

4) chcon 지 령은 화일들에 표식을 다시 붙인다. 그러 나 이 러한 표식변경 
들은 화일체계의 표식 이 다시 붙여 질 때 에는 없어 지 게 됩 니다. 화일체계 
에 대 한 재 표식 때 에 도 남아있는 영 구적 인 변경 을 위 해 서 는 후에 론의 하는 
semanage 지령을 사용하여야 합니다. 봉사기체계의 root 사용자로 다음의 지 
령 을 사용하여 그 형 을 Samba 에 의 해 서 사용되 는 형 으로 변 경 시 킵 니 다. 

chcon -t samba _ share_t / var / www / html / test 2 file 

Is - Z / var / www / html / test 2 file 지 령 을 실 행 하여 변 경 사항들을 봅니 다. 

- rw - r -- r -- root root unconfined _ u : object _ r : samba _ share _ t:sO / var / www/html 

/ test 2 file 

5) 지 령 service httpd status 를 실행하여 httpd 프로쎄스가 실행되 고있 는가를 
확인 합니다. 

$ / sbin/service httpd status 

httpd is stopped 

만일 출력 이 우의것 과 차이 나는 경 우 봉사기 체계 의 root 사용자로 지 령 
service httpd stop 를 실 행 시 켜 httpd 프로쎄 스를 중지 시 킵 니 다. 

# / sbin/service httpd stop 

Stopping httpd : [ OK 
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6) httpd 프로쎄스가 제한을 받지 않고 실행되도록 하기 위하여 봉사기체 
계의 root 사용자로 다음의 지 령을 실행시켜 형 /usr/sbin/httpd 을 제한받는 
령역에로 이행하지 않는 형으로 변경시킵니다 . 

chcon -t unconfined_exec_t /usr/sbin/httpd 

7) 지 령 Is -Z 八 isr/sbin/httpd 를 실 행 시 켜 /usr/sbin/httpd 가 형 

1111( ： 011111 冗 (1_6 표 6( ： _1 ：로 표식되여있는가를 확인합니다 . 


-rwxr-xr-x root root system_u :obj ect_r : unco nfined_e xec_t /usr/sbin/httpd 


8) 봉사기 체계의 root 사용자로 지 령 service httpd start 를 실행시켜 httpd 프 
로쎄스를 기동합니다 . httpd 가 성공적으로 기동하면 출력은 다음과 같이 
될것입니다 . 

# /sbin/service httpd start 

Starting httpd: [ OK 

] 

9) 지 령 ps -eZ I grep httpd 를 실 행 시 켜 httpd 가 령 역 unconfined_t 에 서 실 
행 되고있는것을 확인 합니다 . 


$ ps -eZ I grep httpd 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unconfined_t 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unco nfined_t 
unconfined_ u : s yste m_r : unconfined_t 
unconfined_ u : s yste m_r : unconfined_t 


7721 

? 

(■0:00 

httpd 

7723 

? 

00100100 

httpd 

7724 

? 

■)0:00 

httpd 

7725 

? 

00:00:00 

httpd 

7726 

? 

(■0:00 

httpd 

7727 

? 

(■0:00 

httpd 

7728 

? 

00:00:00 

httpd 

7729 

? 

■)0:00 

httpd 

7730 

? 

00:00:00 

httpd 


10) 봉사기사용자가 쓰기권한을 가지고있는 등록부로 가서 지령 wget 
http://localhost/test2file 을 실행합니 다 . 기 정구성을 변경시키 지 않는 경우 이 
지령은 성공적으로 실행됩니다 . 


--2012-05-07 01:41:10-- httpy/localhost/test2file 


25 




Resolving localhost... 127.0.0.1 

Connecting to localhostl 127.0.0.11:80... connected. 

HTTP request sent, awaiting response... 200 OK 
Length: 0 [text/plain] 

Saving to: v test2file.l' 

[ <=> ]--.-K/s in 0s 

2012-05-07 01:41:10 (0.00 B/s) - 、 tes 松 ffle.l，saved [0/0] 


비 록 httpd 프로 쎄 스가 형 요크배匕쇼요化그로 표식된 화일 들에 대 한 접 근권 
한을 가지고있지 않다고 해도 httpd 는 제한을 받지 않는 령역인 
unconfined_t 에서 실행되고있으며 자유접근조종규칙들을 사용하는데로 되 
돌아갑니다 . 따라서 그것만으로 wget 지령이 성공적으로 실행됩니다 . httpd 
가 제한받는 령역인 httpd_t 에서 실행되고있으면 wget 지령은 실패하게 됩 
니 다 . 

11) 지령 restomcon 은 화일들에 대하여 기정의 보안조작체계문맥을 
복귀 시 켜 줍니 다 . 봉사기 체 계 의 root 사용자로서 지 령 restorecon -v 
八 isr/sbin/httpd 를 실 행 시 켜 /usr/sbin/httpd 에 대 하여 기 정 의 보안조작체 계 문 
맥을 복귀시킵니다 . 

# /sbin/restorecon -v /usr/sbin/httpd 

restorecon reset /usr/sbin/httpd context system_u:object_r : unconfined_notran 

s_exec_t:s0- 

>system_u:obj ect_r : httpd_exec_t:s0 

지 령 ls-ZAasr/sbin/httpd 를 실 행 시켜 /usr/sbin/httpd^1- 형 httpd_exec_t 로 표 
식되여 있는것을 확인합니다 . 

$ Is -Z /usr/sbin/httpd 

-rwxr-xr-x root root system_u:object_r : httpd_exec_t /usr/sbin/httpd 

12) 봉사기체계의 root 사용자로 지령 /sbin/ser vice httpd res tart 을 실행 시 
켜 httpd 를 재 기 동시 킵 니 다 . 재 기 동한 후에 지 령 ps -eZ I grep httpd 를 실 행 
시켜 httpd 가 제한받는 령역인 httpd_t 에서 실행되고있는가를 확인합니다 . 
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# /sbin/service httpd restart 

Stopping httpd: 




[ OK 

] 

Starting httpd: 




[ OK 

] 

# ps -eZ 1 grep httpd 





unconfined_ u : s yste m_r : httpd_t 

8880 ? 

00100100 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8882 ? 

■)0:00 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8883 ? 

■)0:00 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8884 ? 

■)■) 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8885 ? 

■)■) 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8886 ? 

■)■) 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8887 ? 

00:00:00 

httpd 


unconfined— u : s yste m_r : httpd_t 

8888 ? 

■)0:00 

httpd 


unconfined_ u : s yste m_r : httpd_t 

8889 ? 

00:00:00 

httpd 



13) 봉사기 체 계 의 root 사용자로 지 령 rm-i Avar/www/html/test2file 을 실 
행시켜 test2ffle 을 삭제합니 다 . 

14) httpd 를 실행할 필요가 없으면 봉사기 체계의 root 사용자로 지 령 
service httpd stop 를 실 행 하여 httpd 를 중지 시 킵 니 다 . 

# /sbin/service httpd stop 

Stopping httpd: [ OK 

1 ᅳ 

이 편에 있는 실례들에서는 변이된 제한받는 프로쎄스로부터 자료를 어 
떻 게 보호할수 있는가(보안조작체 계 에 의해 보호됨 )를 보여주며 마찬가지 
로 변이된 제한받지 않는 프로쎄스로부터 공격자가 어떻게 자료에 더 잘 
접 근할수 있는가(보안조작체 계 에 의하여 보호되 지 않음)를 보여 줌니 다 . 


3. 제 한밤는 사용자와 제 한밤지 않는 사용자 

모든 봉사기 사용자는 보안조작체 계방책 을 통하여 하나의 보안조작체 계 
사용자에 대응되게 됩니다 . 이렇게 하면 봉사기사용자들이 보안조작체계 
사용자들에게 부여된 제한조건들을 계승하게 됩니다 . 이려한 봉사기사용 
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자대응관계 는 봉사기 체 계 의 root 사용자로서 지 령 semanage login -1 을 실 행 
하면 볼수 있습니다 . 

# /usr/sbin/semanage login -1 


Login Name 

SELinux User 

MLS/MCS R 

ange 

一 default 一 

unconfined_u 

s0-s0:c0.cl023 

root 

unconfined_u 

s0-s0:c0.cl023 

system_u 

system_u 

s0-s0:c0.cl023 


《붉은별〉〉 3.0 봉사기 용체계 에서 봉사기 사용자들은 기 정 으로 보안조작체 계 
의 _ default _ 가입 (이 것 은 사용자 unconfined_t 에 대 응)에 대 응되 게 됩 니 다 . 
다음의 실례는 기 정대응관계를 정 의합니 다 . 


一 default 一 unconfined_u s0-s0:c0.cl023 

다음의 실례 에서는 새 로운 봉사기 사용자의 추가와 그 봉사기 사용자가 
보안조작체계의 사용자 unconfined_u 에 대응되는것을 보여줍니다 . 여 기서 
는 봉사기체계의 root 사용자가 제한을 받지 않고 실행되고있으며 그것이 
《붉은별〉〉 3.0 봉사기 용체계 에서 기 정 으로 동작한다고 가정합니 다 . 

1) 봉사기 체 계 의 root 사용자로 지 령 /usr/sbin/useradd new user 를 실행 시 켜 
newnser 라는 새 로운 봉사기 사용자를 만듭니 다 . 

2) 봉사기 체 계 의 root 사용자로서 지 령 passwd newuser 를 실 행 시켜 봉사기 
체계의 사용자 newuser 에 통과암호를 할당합니다 . 

# passwd newuser 

Changing password for user newuser. 

New UNIX password: Enter a password 

Retype new UNIX password: Enter the same password again 

passwd: all authentication tokens updated successfully. 

3) 현재 의 대 화접 속에서 탈퇴 하고 봉사기 체계 의 newuser 라는 사용자로 
가입합니 다 . 가입할 때 pam_selinux 는 봉사기 사용자를 어 떤 보안조작체 계 
사용자로 대응(이 경 우에는 unconfined_u) 시 키 며 이때 생기게 되 는 보안조 
작체 계 문맥 을 설 정합니 다 . 그다음 이 문맥 을 가지 고 봉사기 사용자의 쉘 이 
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실행 되 게 됩 니 다 . 지 령 id -Z 를 실행시 키 면 봉사기 사용자의 문맥을 볼수 
있습니다 . 


[newuser @ localhost ~]$ id -Z 
unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.cl023 

4) 봉사기 체계의 newuser 의 대화접 속에서 탈퇴 하고 자신의 계 산자리 
(account) 로 가입합니 다 . 만일 봉사기 체 계 의 사용자 newuser 를 삭제 하려 면 
봉사기 체 계 의 root 사용자로 지 령 /usr/sbin/userdel -r newuser 률，실 행 시 키 며 
그의 사용자등록부도 삭제하려면 그 뒤 에 사용자등록부를 써줌니다 . 

제한받는 봉사기사용자들과 제한을 받지 않는 봉사기사용자들은 기 억기 
검 사들을 실 행 하고 쓰기할수 있는 주동체이 며 이 것 또한 MCS 에 의 하여 
제 약(만일 MLS 방책 이 리용되 는 경 우 MLS 에 의 하여 서 도 제 약)되 게 됩 니 
다 . 만일 제한을 받지 않는 사용자들이 령역 unconfined_t 로부터 자체의 
제한받는 령역에로 이행할수 있도록 보안조작체계방책에 정의되여있는 그 
러한 응용프로그람을 실행한다면 제한받지 않는 봉사기사용자들은 또 그 
제한받는 령역의 제 약조건에 따라갑니 다 . 이 려한것의 보안상 우점 은 봉사 
기사용자가 제한을 받지 않고 실행되고있다고 해도 응용프로그람은 제한 
을 받게 되 여있어 응용프로그람의 결함이 악용되는것을 방책을 가지고 제 
한할수 있다는것입니다 . 주의할점은 이것이 체계를 사용자로부터 보호하 
지 못한다는것입니다 . 대신에 사용자와 체계는 응용프로그람의 결함에 의 
하여 초래될수 있는 피해로부터 보호됩니다 . 

《붉은별》봉사기 용체 계 3.0 판에 서 는 다음의 표에 보여주는 제 한받는 보 
안조작체 계 사용자들이 유효합니 다 . 

표 1. 보안조작체계사용자들의 가능성 


사용자 

령역 

X 창문체 계 

SU 와 

사용자등록부와 

망 




sudo 
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/tap/ 에 서 실 행 


user_u 

user_t 

yes 

No 

선택적 

yes 

staff_u 

■ 

yes 

sudo 만 

선택적 

yes 


• 령역 guest_t, xguest_t, user_t 에서 봉사기사용자들은 보안조작체계방책 
에 서 허 가하는 경 우 사용자 ID 설정응용프로그람 (setuid) 만을 실 행 할수 있습 
니다 (passwd 와 같음 ). 이 려한 사용자들은 su 와 /usr/bin/sudo 와 같은 setuid 응 
용프로그람들을 실행할수 없기때문에 결국 이려한 응용프로그람을 사용하 
지 못하여 봉사기체계의 root 사용자로 될수 없습니다 . 

• 령역 guest_t 의 봉사기사용자들은 망접근권한을 가지고있지 못하며 따 
라서 말단을 통하여 서 만 가입할수 있습니 다(여 기 에 ssh 가 포함되 는데 사 
용자들은 ssh 률 통하여 가입할수 있지 만 다른 체계 에 접 속하는데 ssh 를 
사용할수 없습니다 ). 

• 기정으로 령역 staff_t 의 사용자들은 /usr/bin/sudo 와 동반되는 응용프로 
그람을 실행할 권한을 가지고있지 않다 . 이려한 권한은 관리자에 의하여 
구성되여야 합니다 . 

기정으로 령역 guest_t 의 봉사기사용자들은 자기의 사용자등록부나 /tmp/ 
등록부에서 응용프로그람들을 실행할수 없는데 이때 사용자들이 쓰기권한 
을 가지는 등록부들에서 응용프로그람(사용자의 권한을 계승하는 응용프 
로그람)들을 실행못하게 합니다 . 이렇게 하면 결함이 있거나 악의적인 응 
용프로그람들이 사용자소유의 화일들을 변경하지 못하게 됩니다 . 

기정으로 령역 user_t 와 staff_t 의 봉사기사용자들은 자기의 사용자등록부 
와 /tmp/ 에 서 응용프로그람들을 실 행 할수 있습니 다 . 사용자들이 자기 의 사 
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용자등록부와 / tmp / 에 서 응용프로그람을 실 행할수 있게 허 가하거 나 막아 
놓는데 대 한 정 보를 보려 면 《제 5 장 제 6 절 사용자가 실 행하는 응용프 
로그람들에 대 한 론리형 들》을 참고하여 야 합니 다. 

제 2 절 rss 형보안방책 

rss 형보안방책 은 〈〈붉은별》봉사기 용체 계 3.0 판에 서 리용되 는 기 정보안 
방책 입 니 다. 이 방책 에서 는 targeted 형 보안방책 에서 와는 달리 제 한을 받지 
않는 ( unconfined ) 관리자나 프로쎄스가 존재하지 않습니다. 

체계 에 가입 한 관리 자들은 unconfined_t 령 역 을 할당받지 않고 관리 자의 
책임 (capability 혹은 권한)에 따르는 령역 형을 할당받으며 init 에 의 해 기동 
하는 체계프로쎄스들은 특정 한 령 역 형(실례 : Apache 인 경 우 此으산그령 역 )으 
로 동작합니다. 

아래 에서 는 《제 1 절 targeted 형보안방책》에서 제 한을 받지 않는 사용 
자나 프로쎄스가 rss 형보안방책 에서 는 존재하지 않는다는것을 실례를 들 
어 보여 줍니다. 

1. 사용자접근제한 

rss 형보안방책 에서는 RBAC 모형 에 기 초하여 사용자들의 접 근권한을 제 
한합니다. 

《붉은별》봉사기 용체계 3.0 판에서는 다음과 같은 3개의 역 할을 제공함 
으로써 체 계 관리 자들에 대 한 임 무분리 (Separation of Duties ) 를 실 현 합니 
다. 

-체 계 관리 자역 할 
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체계관리자역할 sysadm _ r 는 체계의 구성과 체계지령의 실행을 비롯 
하여 체계관리과제들을 실행할수 있도록 합니다. 체계관리자역할 s 
ysadmj •는 일반적으로 가장 높은 기밀성준위 ( SystemHigh ) 에서 실행 
합니다. 

- 보안관리 자역 할 

보안관리자역 할 secadm _ r 는 보안조작체계시 행방식의 변경 , 보안방 
책관련지령의 실행을 비롯하여 보안조작체계와 련관된 기능들을 수 
행할수 있습니 다. 

- 일 반관리 자역 할 

이 역할은 sysadm _ r , secadm _ r 역할로 이행할수 있는 권한을 가진 모 
든 사용자들을 포함합니다. 이 역할은 secadm _ r , sysadm _ r 역할을 가 
진 사용자의 가입을 막기 위하여 제공되였습니다. 이상의 사용자들 
은 허 가된 역 할모임 안에 secadm _ r , sysadm _ r 을 포함하고있어 야 합니 
다. 

체 계관리 자가 국부적 으로 봉사기 체계 에 가입하는가, 원격 으로 봉사기 
체계에 가입하는가에 따라 체계는 서로 다른 역할을 봉사기관리자에게 
할당합니 다. 

국부적으로 봉사기체계에 가입하는 경우 체계는 sysadm _ i •역할을 할당 
하며 원격으로 봉사기체계에 가입하는 경우 체계는 staff _ r 역할을 할당 
합니다. 

원격으로 가입하는 경우 체계관리자가 체계률 관리하려면 newrole 지령 
으로 체계관리자역할로 이행하여야 합니다.(그림 2) 
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， root@localhost:~ 

login as: root 

root@172.29.88.138 1 s password: 

Last login: Hon Dec 3 15:17:59 2012 
-bash: /root/ .bash_prof ile : o\J 
-bash-4.1# id -Z 

root : staff_r : staff_t : s0-sl5 : cO.cl023 
-bash-4.1# newrole -r sysadm r 
암호: 

[root@localhost # id -Z 

root : sysadm_r : sysadnt t : s0-sl5 : cO. cl023 

[root@localhost ■ 


그림 2. putty 를 리용한 봉사기 체계의 원격 가입 

그림 2 에 서 4 번째 행 을 보면 정 확한 암호를 입 력 하였 다고 해 도 체 계 관 
리 자는 / root 등록부안의 . bash _ profile 에 대한 접근이 불가능하다는 통보 
문을 현시합니 다. 

이 것은 체계관리 자가 ssh 를 리용하여 원격 으로 가입하는 경 우 staff _ r 역 
할을 할당받기 때 문입 니 다. 이 와 같은 기 능은 비 법 사용자가 ssh 를 리용 
하여 사용자인증을 거치지 않고 비법적으로 접근하는 경우 그 권한을 
제 한시 키 기 위 하여 제 공되 는 기 능이 라고 볼수 있습니 다. 

다음으로 체 계 관리 자역 할과 보안관리 자역 할을 통하여 관리 자에 대 한 
임무분리를 어떻게 실현하는가를 보기로 합시다. 

《붉은별》봉사기 용체계 3.0 판에 서 는 관리 자의 기 본기 능을 체 계관리 와 
보안관리로 구분하였으며 이로부터 관리자역 할을 2개의 역 할, 즉 체계 
관리 자역 할과 보안관리 자역 할로 분류하였습니 다. 

체 계 관리 자역 할은 체 계 구성 화일 에 대 한 접 근권한，체 계 봉사대 몬에 대 
한 관리권한，체계관리프로그람에 대한 실행권한을 비롯하여 체계를 
관리할수 있는 권한들을 할당받고있습니 다. 
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보안관리자역할은 보안조작체계 방책 구성 에 대한 변경과 기록화일들에 
대 한 읽 기권한, 보안조작체계관련지 령 들에 대한 실행권한들을 할당받 
고있습니다. 


이와 같은 임무분리기능을 다음의 실례를 통하여 확인할수 있습니다. 

1. 체계관리자역할로 httpd 봉사를 재기동하고 보안방책관리지 령 
( semanage ) 을 실 행 합니 다.(그 림 3) 


《 붉은별》 3.0 (봉사기용제계 ) 

핵심부 2.6.32-120727.RSS3.i686 (i686) 
localhost login ： root 
Password : 

Last login ： Mon Dec 3 15 ： 37：43 on tty2 

[r*oot@localhost id - Z 

root : sysadn_r : sysadn_t : sO-s15 ： c0.c1023 

[rootelocalhost ~]tt seruice httpd restart 

httpd 봉사름 중 지합니 다 . [ 확인 ] 

httpd 봉 사름 시 작 p 니다 . [ 확인 ] 

[rootPlocalhost 

[root©localhost ~]tt 

[rootelocalhost ~]tt semanage login -1 
/usr/sb in/senanage : 보안 방책을 읽을수 없습니다 . 

[rootelocalhost ~]tt 


그림 3. 체계관리자역할의 실행권한 

2. 보안관리자역할로 httpd 봉사를 재기동하고 보안방책관련지령 
( semanage ) 을 실 행 합니 다.(그림 4) 
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■ « 붉은별 » 3.0 (봉사기용제계 ) 


■핵 심 부 2.6. 32-120727 .RSS3. i686 (i686) 


localhost login : 

root 


Password : 



Last login : Mon 

Dec 3 15:50:33 on tty2 

[rootPlocalhost 

~]tt newrole -r secadn_: 

r 

암호 : 



[rootelocalhost 

id -Z 


Iroot : secadn_r : secadm_t : s0-sl5 : cO.cl023 


1 [rootPlocalhost 

seruice httpd restart 

lenu ： /etc/ in it. d/httpd 허 가 거 부 


[rootP1oca 1host 



[rootPlocalhost 



[rootPlocalhost 

~] 公 semanage login 一 1 


가입사용자이름 

SELimix 사용자 

MLS/HCS 범 우 | 

— default — 

user_u 

S0 

root 

root 

s0-sl5 ： cO.cl023 

systern_u 

system u 

s0-sl5 : c0.cl023 

[ root01oca 1host 




그림 4. 보안관리 자역 할의 실 행권한 


우의 실례률 통하여 체계 관리 자역 할로는 semanage 지 령 을 실행할수 없 
으며 보안관리자역할로는 service 지령을 실행할수 없다는것을 알수 있 
습니 다. 

이 상과 같이 rss 형보안방책 에 서는 RBAC 모형 을 리용하여 관리 자에 대 
한 임무분리를 실현하였습니다. 

2. 프로쎄스접근제한 

rss 형보안방책 에서는 TE 모형 에 기 초하여 프로쎄 스들의 접 근권한을 최 
소 권 한의 원 칙 (Princip le of Least Privile ge ) 에 서 제 한 합 니 다 . 

《제 1 절 targeted 형 보안방책》에서 설명 한 targeted 형 보안방책 에서 는 제 한 
을 받지 않는 령역으로서 unconfined _ t 가 존재하며 이와 같은 령역을 허가 
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받은 프로쎄스나 사용자는 강제접근조종을 시행하지 않는 일반적인 리눅 
스에서의 프로쎄스나 root 사용자와 같은 권한을 가집 니 다. 

rss 형 보안방책 에서 는 이 와 같은 unconfined_t 령 역 이 존재하지 않습니 다. 

우의 실례(《제 1 절 targeted 형보안방책》)에서 지정한 다음과 같은 지령 
을 rss 형 보안방책 에 서 시 험 해 봅니 다. 

1. sestatus 지령으로 보안조작체계의 시행방식을 확인합니다. 


■ 상 붉은벌 표 3.0 (봉사기용제계 ) 


■택 심 부 2.6. 32-120727 . RSS3. 1686 

(i686) 

localhost login : 

root 


Password : 



Last login : Mon 

Dec 3 15:50:37 

on tty2 

[ root (? 1 oca 1 host 

sestatus 


SELinux status : 


enabled 

SELinuxfs mount : 


/selinux 

Current mode : 


enforcing 

Mode from config 

file ： 

enforcing 

Policy uersion : 


24 

■Policy fron config file ： 

rss 

| [root@localhost 




그림 5. 보안조작체계의 시행방식 


2. 체계관리자역할로 / usr / sbin/httpd 의 보안문맥을 다음과 같이 변경시 
킵 니 다. 

#chcon -t unconfined_e xec_t / usr / sbin/httpd 

다음과 같은 통보문이 현시됩니다. 


chcon : " usr / sbin/httpd ’의 보안문맥을 ' system _ u : object _ r : unconfined_exe 
c _ t : sO ’ 로 변 경할수 없습니 다. 


3. 보안관리자역할로 / usr / sbin/httpd 의 보안문맥을 다음과 같이 변경시 
킵 니 다. 

우와 같은 통보문이 현시 됩 니다. 
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rss 형 보안방책 에서 는 unconfined _ exec _ t 형 을 제공하지 않으며 따라서 http 
d 화일을 unconfined _ exec _ t 형 으로 변경 할수 없습니 다. 즉 httpd 봉사대몬을 
제한을 받지 않는 unconfined _ t 형으로 기동할수 없으며 오직 httpd _ t 형으로 
만 기 동할수 있도록 되 여있습니 다. 
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제 4 장 보안조작체계구성 과 관리 
제 1 절 보안조작체계패키지 

보안조작체계 는〈〈붉은별》봉사기 용체계 3.0 판에서 설치시 에 선 택하여 야 
설치 됩 니 다. 만일 설치 된 경 우 보안방책 형 은 기 정 으로 rss 형 ( strict 형)이 되 
며 보안조작체계는 시행방식으로 됩니다. 보안조작체계 패키지는 다음과 
같습니다. 

polieycoreutils - python : 0 1 패키지는 semanage , audit 2 allow , audit 2 why , cheat 
와 같은 지령들을 제공합니다. 

policycoreutils : restorecon , sec on , setfiles , semodule , load _ policy , setsebool 
과 같은 보안조작체계 관리지 령들을 제공합니다. 

selinux - policy : SELinux Referenc Policy 를 제공합니다. 이것은 하나의 완성 
된 보안방책이며 다른 방책들의 기초로 사용됩니다. 례하면 targeted 방책. 

selinux - policy - [보안방책 형]: 보안조작체계 방책 들을 제공합니 다. 실례로 
targeted 형보안방책 을 설 치 하려 면 selinux - policy - targeted 를 설 치 하여 야 하고 
rss 형보안방책 을 설 치 하려 면 selinux - policy - rss 를 설 치 하여 야 합니 다. 

libselinux - utils : avestat , getenforce , getsebool , matehpathon , selinuxconlist , se 
linuxdefcon , selinuxenabled , setenforce , togglesebool 도구들을 제공합니다. 
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제 2 절 감시 및 기 록화일 

보안조작체계 거부통보문은 / var / log / audit / audit . log 에 기정으로 다음과 같 
이 씌여있습니다. 

type=AVC ms ^ audit (1223024155.684:49): avc : denied { getattr } for pid 
=2000 cornir ᄐ” httpd ” 

path =”/ var 八 vww / html/filel ” dev = dm -0 ino =399185 scontext = unconfined _ u : s 
ystem _ r : httpd_t : s 0 

tcontext = system _ u : object _ r : samba _ share _ t:sO tclass=file 

May 7 18:55:56 localhost setroubleshoot : SELinux is preventing httpd (ht 
tpd _ t ) " getattr " 

to / var / www / html/file 1 ( samba _ share _ t ). For complete SELinux messages , 
run sealert -1 

de 7 e 30 d 6-5488-466 d - a 606-92 c 9 f 40 d 316 d 


대몬들의 자동적 인 기 동 

auditd 와 rsyslogd 대몬은 체계가 기 동할 때 자동적 으로 기 동됩 니 다. root 사 
용자가 지 령으로 기동할수도 있습니다. 

#chkconfig --levels 2345 auditd on 
#chkconfig --levels 2345 rsyslog on 

service service-name status 지 령 으로 봉사가 실행중인가를 알수 있습니 다. 
례를 들면 

#service auditd status 

auditd (pid 1318) 를 실행하고있습니다. 

봉사가 실행중이 아니면 ( service - name 이 중지) service service-name start 지 

령 으로 기 동할수 있습니 다. 이 때 사용자는 root 사용자이여 야 합니 다. 

# / sbin/service auditd start 

auditd 프로그람을 기동합니다. [ 확인 ] 
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제 3 절 기본구성화일 


/ etc / selinux/config 화일 은 보안조작체 계 기 본구성 화일 입 니 다. 이 화일 은 
보안조작체 계 의 방식 과 보안방책 사용을 조종합니 다. 

# This file controls the state of SELinux on the system 

# SELINUX = can take one of these three values : 

# enforcing - SELinux security policy is enforced . 

# permissive - SELinux prints warnings instead of enforcing . 

# disabled - No SELinux policy is loaded . 

SELINUX=enforc ing 

# SELINUXTYPE = can take one of these two values : 

# targeted - Targeted processes are protected , 

# mis - Multi Level Security protection . 

# rss - policy for RedStar Server 3.0 

SELINUXTYPE=rss 

SELINUX=eirforcing 

SEUNUX 항목은 보안조작체계시 행방식 을 설정하며 3 가지 방식 즉 
enforcing , permissive , disable 을 가지 고있습니 다. 보안조작체 계 방책 이 시 행 되 
면 보안방책 규칙 에 따라 접 근이 거 부되 며 그 내 용이 기 록됩 니다. 
Permissive 방식 으로 사용하면 보안방책은 시 행되 지 않습니 다. 보안조작체 
계 가 부정접 근을 막지 만 보안조작체 계 가 시 행방식 으로 기 동하면 거 부된것 
들은 기 록됩 니다. Disabled 방식 을 사용하면 보안조작체 계 는 사용불가능(보 
안조작체계모둘은 리눅스핵심부에 있지 않다)으로 되며 오직 자유접근조 
종규칙 만을 사용하게 됩 니다. 


SELINUXTYPE=rss 


SEUNUXTYPE 항목은 보안방책 사용을 설정 합니 다. rss 방책 은 기 정 방책 입 
니다. MLS , strict , targeted 를 사용하고싶으면 이 항목을 변경 시켜 야 합니 다. 
rss 방책 을 사용하려 면 selinux - policy - rss 패 키 지 가 있 어 야 하며 
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/ etc / selinux 八; onfig 화일 에 SELINUXTYPE = rss 를 설정 하고 체계를 재 기동하여 
야 합니다. 
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제 4 절 보안조작체계의 시행방식설정 

/ usr / sbin/getenforce 또는 / usr / sbin/sestatus 지 령 을 리 용하여 보안조 작체 계 의 
상태를 알수 있습니다. getenforce 지 령 은 Enforcing , Permissive , Disabled 를 
돌려 줍니 다. getenforce 지 령 은 보안조작체 계 가 허 용(보안조작체 계 규칙 들이 
시 행 됨 )될 때 Enforcing 을 돌려 줍니 다. 

#getenforce 

Enforcing 

getenforce 지 령 은 보안조작체 계 가 허 용되 였 을때 Permissive 를 돌려 주지 만 
보안조작체계방책규칙 들은 시 행되 지 않고 자유접 근조종규칙만 사용됩 니 다. 
getenforce 지 령 은 보안조작체 계 가 사용불가능일 때 Disabled 를 돌려 줍니 다. 

sestatus 지령은 보안조작체계의 상태와 보안방책의 사용상태를 돌려 줍니 
다. 


#sestatus 
SELinux status : 
SELinuxfs mount : 
Current mode : 

Mode from config file : 
Policy version : 

Policy from config file : 


enabled 

/selinux 

enforcing 

enforcing 
24 。 

rss 


SELinux status : enable 은 보안조작체계가 허용되 였을 때 돌려지는 값입니 
다. Current mode : enforcing 은 보안조작체 계 가 시 행 방식 으로 실 행 중일 때 돌 
려지 는 값입 니 다. Policy from config file : rss 는 보안조작체계가 rss 형 방책을 
사용할 때 돌려지는 값입니다. 
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1. 보안조작체계 사용가능설정 

보안조작체계가 사용불가능일 때 / etc / selinux/config 에서 SELINUX 항목은 
SEUNUX=disabled 로 되 여 있 습니 다. 

# This file controls the state of SELinux on the system . 

# SELINUX = can take one of these three values : 

# enforcing - SELinux security policy is enforced . 

# permissive - SELinux prints warnings instead of enforcing . 

# disabled - No SELinux policy is loaded . 

SELINUX=disabled 

# SELINUXTYPE = can take one of these two values : 

# targeted - Targeted processes are protected , 

# mis - Multi Level Security protection . 

# rss - policy for RedStar Server 3.0. 

SELINUXTYPE=rss 

getenforce 지 령 을 리 용하면 Disabled 가 나타난다. 

#getenforce 

Disabled 

보안조작체계의 사용가능 

1 . rpm -qalgrep selinux , rpm -q policycoreutils 지 령 을 사용하여 보안조작 
체계 패키 지 들이 설치되 였는가를 확인합니 다. 이 지 도서 에서는 selinux-pol 
icy - rss , selinux - poliey - targeted , selinux - policy , libselinux , libselinux - python , libs 
elinux - utils , policycoreutils - python , po lie y core utils - ne wro le 0 1 설치되였다고 7\ 
정합니다. 이러한 패키지가 설치되지 않았다면 root 사용자로 yum install 
패키지명 지 령으로 설치 하여 야 합니 다. 

2. 보안조작체계를 사용가능하게 하기 전에 화일체계에서 매 화일에 보 
안조작체계문맥에 따라 표식을 붙여야 합니다. 그러면 체계가 기동할 때 
령역을 제한하여 접근을 보호합니다. 이 보호를 활성화하려면 
/ etc / selinux/config 에 SELinux=permissive 를 설 정 합니 다. 
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# This file controls the state of SELinux on the system. 

# SELINUX= can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 

# disabled - No SELinux policy is loaded. 
SELINUX=permissive 

# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# mis - Multi Level Security protection. 

# rss - policy for RedStar Server3.0. 

SELINUXTYPE=targeted 


3. root 사용자로서 reboot 지 령 으로 체계를 재 기 동합니 다 . 그러 면 기 동하는 
동안에 화일체계는 표식 이 붙게 되며 보안조작체계체계 에서 표식처 리가 
진행 됩니 다 . 

*** Warning -- SELinux targeted policy relabel is required. 

*** Relabeling could take a very long time, depending on file 

*** system size and speed of hard drives. 

**** 

4 . 허가방식 에서 보안조작체계방책은 시 행되지 않습니다 . 시 행방식으로 
절 환하기 전 에 root 사용자로 grep '"SELinux is preventing” /var/log/messages 지 령 
을 실행시켜 확인합니 다 . 만일 보안조작체계가 마지 막 기 동시 에 활동을 
거부시키지 못하면 이 지령은 그 어떤값도 돌려주지 않습니다 . 

5. /var/log/messages 에 서 통보문을 거 부시 키 려 면 /etc/selinux/config 에 서 SE 
Linux=enforcing 로 설 정 합니 다 . 


# This file controls the state of SELinux on the system. 

# SELINUX= can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 

# disabled - No SELinux policy is loaded. 
SELINUX=enforcing 

# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 

# mis - Multi Level Security protection. 


44 



# rss - policy for RedStar Server3.0 
SELINUXTYPE=rss 


6. 체 계 를 재 기 동한후 getenforce 지 령 으로 확인 하면 Enforcing 을 돌려 준다 

#getenforce 

Enforcing 

7. 보안관리 자 (secadm_r 역 할)로 /usr/sbin/semanage login -1 지 령 을 실 행 하면 
다음과 같은 결 과를 보게 됩 니다 . 


가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

— default — 

user_u 

sO 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 


만일 그렇 지 않으면 root 사용자로 다음의 지 령을 리용하여 사용자넘기 
기 를 진 행합니 다 . 사용자이 름에 root, user_u, 용 11 £ 인 _ 11 로 되 여있을수 있습니 
다 . 

1. #semanage user -a -S rss -P user -R ” user_r’’ -r sO user_u 

2. #semanage user -a -S rss -P user -R ” staff_r secadm_r sysadm_r syste 
m_r’’ -r s0-sl5:c0.cl023 root 

3. #semanage login -m -S rss -s M user_u M -r sO 一 default 

4. #semanage login -m -S rss -s ’’root” -r s0-sl5:c0.cl023 root 

5. #semanage user -a -S rss -P user -R guest_r guest_u 

2. 보안조작체계 사용불가능설정 

보안조작체 계 사용불가능설 정 은 /etc/selinux/config 에 서 SELinux=disabled 

# This file controls the state of SELinux on the system 

# SELINUX= can take one of these three values: 

# enforcing - SELinux security policy is enforced. 

# permissive - SELinux prints warnings instead of enforcing. 

# disabled - No SELinux policy is loaded. 

SELINUX=disabled 

# SELINUXTYPE= can take one of these two values: 

# targeted - Targeted processes are protected, 
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# mis - Multi Level Security protection. 

# rss - policy for RedStar Server3.0. 

SELINUXTYPE=rss 

체계를 재기 동한후 getenforce 지령을 주면 Disabled 가 됩니 다 . 

#getenforce 

Disabled 


제 5 절 론리형값 

론리 형 값목록은 매 개 의 동작상태 를 보여 주는데 on, off 로 되 여 있습니 다 . 
semanage boolean -1 지 령은 root 사용자로 실행 합니 다 . 

#semanage boolean -1 _ 

SELinux boolean Description 

ftp_home_dir -> off Allow ftp to read and write files in the user h 
ome directories 

xen_use_nfe -> off Allow xen to manage nfs files 

xguest_connect_network -> on Allow xguest to configure Network Manag 

er 


SELinux boolean 렬은 론리 형 이 름입 니 다 . Description 렬은 론리 형 의 on, off 
와 론리형의 기능을 설명합니다 . 

다음의 실례 에서 ftp_home_dir 론리 형 은 off 이 며 FTP 대 몬 (vsftp ) 이 사용자 
등록부에서 읽 기 , 쓰기를 하지 못하도록 방지합니 다 . 


ftp_home_dir -> off Allow ftp to read and write files in the user home 
directories 

Getsebool -a 지 령 은 전 체 론리 형 을 렬 거 하며 그것 들의 on, off 를 보여 주지 
만 그 기 능에 대 하여 서 는 설 명하지 않습니 다 . 

# getsebool -a 
altow_console_login --〉off 
altow_cvs_read_shadow --〉off 
altow_daemons_dump_core --> on 
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getsebool Boolean-name^] ^ 실 행 하면 公 ookan-nam 《의 상태 목록을 보 

여 줍니 다 .. 

#getsebool allow_console_login 
aliow_console_login --〉off 

공백 분리 를 사용하면 다중론리형목록으로 목록화합니 다 . 

#getsebool altow_console_lo gin altow_daemons_d ump_core 

altow_console_login --〉off 

altow_daemons_dump_core --> on 

2) 론리 형 구성 

setsebool 론리 형이름 x 지 령 은 론리 형 의 on, off 를 돌려 는데 론리 형이름 
은 론리형 의 이 름입 니 다 . X 는 론리형 이 on 일때 는 on 을 돌려 주고 그렇 지 
않을 때 에는 off 를 돌려줍니다 . 

다음 실례는 httpd_can_network_connect_db 론리 형 에 대한 구성을 보여줍 
니 다 . 

1. 기 정 으로 httpd_can_network_connect_db 는 off 로 되 여 있 으며 Apache 
HTTP 봉사기스크립 트를 막고 자료기 지봉사기 로부터 모듈화합니 다 . 

#getsebool httpd_can_network_connec t_db 
httpd_can_network_connect_db --> off 

2 . 림 시 적 으로 Apache HTTP 봉사기 스크립 트는 허 가되 여 있고 자료기 지 봉 
乂 )*71 와의 련결을 모듈화합니 다 . Setsebool httpd_can_network_connect_db on^l 
령을 보안관리자 (secadm_r 역할)로 실행 합니다 . 

3. Getsebool httpd_can_network_connect_db 지 령 을 주면 론리 형 이 on 으로 
변화된 내용이 얻어집니다 . 

#getsebool httpd_can_network_connect_db 
httpd_can_network_connect_db --> on 
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4 . 이 변경 은 체계를 재 기 동하여 야 합니 다. 체계를 재기동하지 않으려 면 


setsebool-P 론리 형 이름 on 지 령 을 실 행 합니 다. 

#setsebool -P httpd_can_network_connect_db on 

5 . 림 시 적 으로 원래 대 로 돌아가려 면 보안관리 자로 들어 가 setsebool 
httpd_can_network_connect_db off 지 령 을 실행 합니 다. 체계를 재 기 동하여 도 
설정값이 변하지 않도록 하기 위 하여 서 는 setsebool -P 

httpd_can_network_connect_db off 를 실 행합니 다. 

3) NFS 와 CIFS 에 대 한 론리 형 

기정으로 NFS 는 의뢰기측에서 NFS 화일체계에 의하여 거부되는 표식이 
붙어 맙제 됩 니 다. 공통적 인 방책 들에 서 는 기 정 으로 nfs_t 형 을 사용합니 다. 
또한 Samba 탑제는 방책상 거부되는 표식이 불으며 공통적인 방책들에서 
는 기 정으로 cifs_t 형을 사용합니다. 

Setsebool 과 semanage 지 령 은 보안관리 자역 할 (secadm_r 역 할)만이 실 행 할수 
있습니 다. Setsebool-P 지 령 은 변경 을 요구하며 재 기 동을 바라지 안는다면 
- P 선택항목을 사용하지 않습니 다. 


Apache HTTP 봉사기 


NFS 화일 체 계 로 접 근을 허 가합니 다.(화일 은 nfe_t 형 이 붙는다호 
#setsebool -P httpd_use_n 色 on 

Samba 화일체계로 접근을 허가합니다.(화일은 cife_t 형이 붙는다) 


#setsebool -P httpd_use_cifs on 

Samba 

NFS 화일체계를 반입하기 


#setsebool -P samba_share_nfs on 


FTP ( vsftpd ) 
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NFS 화일체계로 접근을 허가 


#setsebool -P allow_ftpd_use_nfs on 
Samba 화일체계로 접근을 허가 


#setsebool -P altow_ftpd_use_c ifs on 
다른 봉사들 

다른 봉사를 위한 론리형 과 관련된 NFS 목록 


#semanage boolean -11 grep nfs 
다른 봉사를 위한 론리형 과 관련 된 Samba 목록 

#semanage boolean -11 grep cifs 


제 6 절 화일문맥설정 

보안조작체계가 실행중인 상태에서 모든 프로쎄스와 화일들은 보안관련 
정보로써 표식이 붙게됩니다 . 이 정보를 보안조작체계문맥이라고 합니다 . 
화일 에 붙은것 을 보려 면 ls-Z 지 령 을 리용하면 알수 있습니 다 . 

$ Is -Z fflel 

-rw-rw-r--. kkh kkh user_u:object_r:user_home_t:s0 fflel 

이 실례에서 보안조작체계 문맥은 사용자 (user_u), 역할 (object_r), 형 
(user_home_t), 기 밀성 준위 (sO) 입 니 다 . 이 정 보는 접 근조종에 리 용됩 니 

다 . 자유접 근조종체계 에서 접 근은 리 눅스사용자와 집 단식 별자에 의하여 
조종됩 니다 . 보안조작체 계 규칙 은 자유접 근조종규칙후에 검 사됩 니다 . 보안 
조작체 계 규칙 은 자유접 근조종규칙 이 접 근거 부되 면 사용되 지 않습니 다 . 

보안문맥화일을 관리 하는 지 령 들에는 chcon, semanage, fcontext, restorecon 
과 같은 지 령들이 있습니다 . 


1) 림 시 변 경 : chcon 
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chcon 지 령 은 보안조작체계문맥을 변경 시컵 니 다 . 


chcon -t 형 화일이름 지령을 실행하면 화일의 형을 변경하는데 家에는 
httpd_sys_content_t 와 같이 주며 화 일이름 6 ^는 화일 또는 등록부이 름을 줍 
니 다 . 

chcon -R -t 형 등록부이름 지령을 실행하면 등록부의 형과 그의 문맥 
을 변 경 하는데 형은 httpd_sys_content_t 처 럼 주고 등록부 0 /# 에 는 등록부이 
틈을 줌니다 . 

화일 또는 등록부형 변경 

1. 등록된 사용자 kkh 로 가입합니 다 . 

2. touch filel 지 령 을 실행하여 새화일을 창조합니 다 . Is -Z filel 지 령 을 리 
용하여 fflel 의 보안조작체 계 문맥 을 몹니 다 . 

$ Is -Z fflel 

-rw-rw-r—. kkh kkh user_u:object_r:user_home_t:sO fflel 

이 실 례 에 서 filel 을 위 한 보안조작체 계 문맥 은 user_u 사용자， object_r 역 
할 , user_home_t 형， sO 준위 를 보여 줍니 다 . 

3. chcon 一 t samba_share_t filel 지 령 을 리 용하여 samba_share_t 로 변경 시 킵 
니 다 . 이 지 령 은 관리 자 (sysadm_r 역 할 혹은 secadm_r 역 할)로 실 행 되 여 야 
합니다 . -t 선택항목은 형만 변경하며 결과를 ] s-Zfflel 로 확인합니다 . 

$ls -Z fflel 

k fflel 에 접근할수 없습니다 . 허가거부 

4. /sbin/restorecon -v filel 지 령을 리용하여 filel 를 위한 보안조작체계 문 
맥 을 복귀 합니 다 . 이 지 령 은 관리 자 (sysadm_r 역 할 혹은 secadm_r 역 할)로 
실행되여야 합니다 . -v 는 무엇이 변경되였는가를 보여줌니다 . 

#restorecon -v /home/kkh/filel 

restorecon reset fflel context user_u:object_r : samba_share_t:s0- 

>user_u:object_r : user_ho me_t:sO 
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이 실 례 에 서 이 전 의 형 은 samba_share_t^ 는데 user_home_t 형 으로 저 장 
되 였 습니 다 . rss 형 보안방책 을 사용할 때 restorecon 지 령 은 

/etc/se]inux/rss/contexts/files/ 등록부 에 서 화 일 을 읽 습니 다 . 

등록부변경과 내 용물형 (contents types ) 

다음과 같이 등록부를 만들고 등록부의 화일형을 Apache HTTP 봉사기를 
사용하는 형으로 변경시킵니다 . 이 실례에서 구성화일은 Apache HTTP 봉 
사기 를 사용하려 면 /var/www/html/ 을 사용하게 됩 니 다 . 

1. 체계 관리자로 mkdir 八 veb 지령으로 등록부를 창조합니다 . 다음 touch 
/web/file{ 1,2,3} 지 령 을 실행시 켜 3 개의 빈화일 filel, ffle2, ffle3 을 만듭니 다 . 
/web/ 등록부와 화일 들은 이 미 root_t 형 으로 표식 이 붙여 집 니 다 . 


# Is -dZ /web 

drwxr-xr-x root root root:object_r:roo t_t : sO /web 

# Is -E /web 

-rw-r--r-- root root root:obiect_r:root_t:s0 filel 
-rw-r--r-- root root root:object_r:root_t:s0 file2 
-rw-r--r-- root root root:object_r:root_t:s0 file3 

2. root 사용자로 chcon-R-t httpd_sys_content_t 八 veb/ 지 령 을 실 행 하여 /web/ 
등록부의 형 을 httpd_sys_content_t 로 변 경 시 킵 니 다 . 

# chcon -R -t httpd_sys_content_t /web/ 

# Is -dZ /web/ 

drwxr-xr-x root root root:obiect_r:httpd_sys_content_t:sO /web/ 

# Is -]Z /web/ 

-rw-r--r-- root root root:obiect_r:httpd_sys_content_t:sO filel 
-rw-r--r-- root root root:object_r:httpd_sys_content_t : sO ffle2 
-rw-r--r-- root root root:object_r:httpd_sys_content_t:sO file3 

3. root 사용자로 /sbin/restorecon-R-v 八 veb/ 지 령을 실행하여 보안문맥을 
복귀 합니 다 . 

#restorecon -R -v /web/ 

restorecon reset /web context root:object_r:httpd_sys_content_t:sO->system_ 
u:object_r:default_t:sO 
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restorecon reset /web/file2 context root:object_r : httpd_sys_content_t : sO->sys 
tem_u:obiec t_r : default_t :s0 

resto recon reset /web / 五 le3 context roo t :ob jec t_r : httpd_s ys_content_t :s0- >sy s 
tem_u:objec t_r : default_t:sO 

resto recon reset /web / 五 lei context roo t :ob jec t_r : httpd_ s ys_co nte nt_ t : sO- >sy s 
tem_u:objec t_r : default_t:sO 


2) 일 관성 변경 (Persistent Changes):semanage fcontext 


/usr/sbin/semanage fcontext 지령은 화일에 대한 보안조작체계문맥을 변경 
시킵니다 . Targeted 방책을 사용할 때 이 지령은 만일 file_contexts 에 존재하 
는 화일 을 변 경 하거 나 file_contexts.local 을 새 로운 화일 과 등록부(례 하면 
八 veb / 등록부와 같은 ) 에 추가하려 면 /etc/selinux/rss/context/files/file_con^ 

일 에 추가합니 다 . 화일체계 와 련관되 는 보안조작체계문맥 설정 시 에는 
setfiles 지 령 을 사용하고 보안조작체 계 문맥 을 복귀 하는데 는 /sb in/re store con 
지 령 을 사용합니 다 . 이 것 은 /usr/sbin/semanage fcontext 이 일 관성 을 보장해 준 
다는것 을 의 미합니 다 . 보안조작체 계 방책 은 어 떤 주어 진 화일 에 대 하여 사 
용자도 변경을 할수 있게 조종합니다 . 

빠른 참조 

보안조작체계문맥을 작성 하는데서 화일체계 표식도 변경 할수 있습니다 . 

1. /usr/sbin/semanage fcontext -a 선택항목 화일이름 \ 등록부이름 지령을 실 
행하는데 화일이나 등록부경로는 전체 경로로 합니다 . 

2. /sbin/restorecon -v 화 일 이름\등록부 이름 지령을 리 용하여 보안문맥을 
변경 시킵 니다 . 

화일형 변경 

화일형을 변경하는것은 다음과 같이 합니다 . 
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1 . 체계관리자 (sysadm_r 역할)로 touch /etc/filel 지령을 실행하여 새 화일 
을 창조합니다 . 기정적으로 새로 만들어지는 화일은 /etc/ 등록부에 etc_t 형 
으로 표식이 붙습니다 . 

# Is -Z /etc/filel 

-rw-r--r-- root root root:object_r:etc_t : sO /etc/filel 

2 . 보안관리자 (secadm_r 역할)로 semanage fcontext -a -t samba_share_t 
/etc/filel 지 령 을 실 행 하여 filel 의 형 을 samba_share_t 형 으로 변 경 하며 -a 
선택항목은 새로운 레코드를 추가하며 -t 항목은 형 (samba_share_t) 을 정의 
합니 다 . 이 지 령 들은 직 접 형 을 변경시 키 지는 않으며 -filel 는 아직 도 
…고형으로 표식이 붙어 있습니다 . 

#semanage fcontext -a -t samba_share_t /etc/filel 

# Is -Z /etc/filel 

-rw-r--r-- root root root:object_r:etc_t : sO /etc/filel 

/usr/sbin/semanage fcontext -a -t samba_share_t /etc/filel 지 령 은 다음의 입 
구점 을 /etc/selinux/targeted/contexts/files/file_contexts.local5 - 주가합니 다 . 

/etc/file 1 unconfined_u :ob j ect_r : s amba_s hare_t : sO 

3 . 체계 관리자 (sysadm_r 역 할)나 보안관리 자 (secadm_r 역 할)로 restorecon - 
v /etc/filel 지 령 을 실 행하여 형 을 변경 시 킵 니 다 . semanage 지 령 은 /etc/filel 
를 file.contexts.local 로 주가하며 restorecon 지 령은 형 을 samaba_share_l^ 변 
경 시 킵 니 다 . 

#restorecon -v /etc/filel 

restorecon reset /etc/filel context root:object_r : etc_t:sO->system_u:object_r:s 

amba_share_t: sO 

4 . 체계관리자 (sysadm_r 역할)로 rm -i /etc/filel 지령을 실행하여 filel 를 
삭제 합니 다 . 
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5. 보안관리자 (secadm_r 역할)로 semanage fcontext -d /etc/file 1 지 령을 실행 
하여 추가된 /etc/file 1 를 삭제합니 다 . 문맥 을 삭제할때 restorecon 은 samba_ 
share_t 이 아니 라 etc_t5 - 변 경 시 킵 니 다 . 

등록부형 변경 

새 등록부를 만들고 등록부의 형을 변경하는것을 실례로 고찰하되 형은 
Apache HTTP 봉사기 로 합니 다 . 

1. 체 계 관리 자로 mkdir 八 veb 지 령 을 실 행 하여 새 등록부를 만듭니 다 . 이 
등록부는 root_t 형 으로 표식불습니 다 . 

# Is -dZ /web 

drwxr-xr-x root root root:obj ect_rxoo t_t : sO /web 

Is-d 선택 항목은 Is 지 령 에 대하여 등록부만의 정 보를 보는것 입 니 다 .-Z 선 
택 항목은 Is 지 령 을 보안조작체 계 문맥 으로 표시 합니 다.(실 례 로 
root :object_r:roo t_t:sO) 

2. 보안관리 자로 semanage fcontext -a -t httpd_sys_context 八 veb 지 령 을 실 행 
하여 Aveb/ 형 을 httpd_sys_content_t 로 변경 시 킵 니 다 . -a 선택 항목은 새 레코 
드를 추가하며 -t 선 택 항목은 형 (httpd_sys_content_t) 을 정 의 합니 다 . 등록부 
Aveb/ 의 형 은 여 전 히 default_t^ 표식 이 붙어 있습니 다 . 

#semanage fcontext -a -t httpd_sys_content_t /web 

#ls -dZ /web 

drwxr-xr-x root root root:object_r:root_t : sO /web 

semanage fcontext -a -t httpd_sys_content_t /web 지 령 은 다음의 /etc/seli 
nux/rss/contexts/files/file_contexts.to^ 구점 을 주가합니 다 . 

/web system_u:obj ect_r : httpd_s ys_co nte nt_ t : sO 
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3 . 체 계 관리 자나 보안관리 자로 restorecon -v Aveb 지 령 을 실 행 하여 형 을 
변 경 시 킵 니 다 . semanage 지 령 이 Aveb / 를 file.contexts.local 로 추가한 후 
restorecon 지 령 은 httpd_sys_content_t 형 으로 변 경 합니 다 . 

#restorecon -v /web 

restorecon reset /web context root:object_r : root_t:s0->system_u:object_r : http 
d_sys_content_t :s0 

기 정 으로 새 롭게 화일 을 창조하는 경 우 창조되 는 화일 은 어 미등록부의 
보안조작체계형 을 계승합니 다 . 이 실례를 리용할 때 보안조작체계문맥을 
삭제 하기 전 에 /web / 를 추가시키 면 /web / 등록부안의 화일 과 등록부들은 
httpd_sys_content_t5_ 표식 붙여 집 니 다 . 

4. 보안관리 자로 semanage fcontext -d Aveb 지령을 실행하여 Aveb / 문맥을 
삭제 합니 다 . 

5. 체 계 관리 자나 보안관리 자로 restorecon -v Aveb 지 령 을 실 행 하여 기 정 
보안조작체 계 문맥 을 복귀합니 다 . 

등록부와 내용물형을 변경 

다음의 실례는 새 등록부를 창조하고 등록부의 형을 ApachHTIP 봉사기 
에서 사용할수 있게 만듭니다 . 이 실례는 Apache HTTP 봉사기 에서 사용하 
는 등록부 (/var/www/html ) 와 다른데 서 작성 합니 다 . 

1. 체계관리자로 mkdir 八 veb 지 령을 실행하여 새로운 등록부를 창조하며 
다음 touch 八 veb/file{l ， 2,3 } 지 령 으로 3 개의 빈 화일 (filel, file2, ffle3 ) 을 만듭 
니 다 . Aveb / 등록부화 화일들은 root_t 형 으로 표식 이 붙어 있게 됩 니 다 . 

# Is -dZ /web 

drwxr-xr-x root root root:obj ect_rxoo t_t : sO /web 

-rw-r--r-- root root root:obiect_r:root_t:s0 filel 
-rw-r--r-- root root root:obiect_r:root_t:sO ffle2 
-rw-r--r-- root root root:object_r:root_t : sO file3 
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2. 보안관리 자로 semanage fcontext-a -t httpd_sys_content_t ’’/web/(/.*)?’’ 지 령 
을 실행하여 Aveb/ 등록부와 그안의 화일들의 형을 httpd_sys_content_l :로 변 
경시킵 니다 . -a 선택 항목은 새로운 레코드를 추가하며 -t 선택 항목은 형 
(httpd_sys_content_t) 를 정 의 합니 다 . "web/(/.*)? n 정 규표현 식 은 semanage 지 령 
이 /web/ 등록부를 변경한다는 의미 입 니다 . 

# Is -dZ /web 

drwxr-xr-x root root root:obj ect_r:roo t_t : sO /web 

-rw-r—r— root root root:obiect_r:root_t:sO filel 
-rw-r--r-- root root root:object_r:root_t:s0 file2 
-rw-r--r-- root root root:object_r:root_t:s0 file3 

semanage fcontext -a -t httpd_sys_content_t ’Vweb(/.*)?’’ 고 1 령 은 다음의 /etc 
/selinux/rss/contexts/files/file_conte^ 구점 을 주가합니 다 . 

/web(/.*)? system_u:object_r : httpd_sys_content_t : sO 

3. 체계관리 자로 restorecon -R -v /web 지 령 을 실행 하여 /web/ 등록부의 형 

을 변경시키는데 그 등록부안의 화일도 같이 변합니다 . -묘는 재귀적인 실 
행을 진행하며 이 지령은 /web/ 등록부의 화일에 httpd_sys_content_t 표식을 
붙인다 . semanage 지령으로 /web(/.*)? 에 의 하여 file.contexts.local 을 추가한 
후 restorecon 지 령 형 을 변 경 시 킵 니 다 . 

#restorecon -R -v /web 

restorecon reset /web context root:object_r:root_t:s0- 

>system_u :obj ect_r : httpd_s ys_co nte nt_t :s0 

restorecon reset /web/file2 context root:obj ect_r too t_t : sO- 

>system_u :obj ect_r : httpd_s ys_co nte nt_t :s0 

restorecon reset /web/file3 context root:obj ect_r too t_t : sO- 

>system_u :obj ect_r : httpd_s ys_co nte nt_t :s0 

restorecon reset /web/file 1 context root:obj ect_r too t_t : sO- 

>system_u :obj ect_r : httpd_s ys_co nte nt_t :s0 

4 . 보안관리 자로 semanage fcontext -d 7web(/.*)?’’ 지령을 실행 하여 

n /web(/.*)?’’ 에 의 하여 추가된 문맥 들을 삭제합니 다 . 
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5 . 체계관리자로 restorecon -R -v 八 veb 지 령을 실행하여 보안조작체계 문 
맥 을 복귀합니 다 . 

문맥 의 삭제 와 추가 

1. 보안관리 자로 semanage fcontext -a -t httpd_sys_content_t /test 지 령 을 
실 행 합니 다 . /test/ 등록부는 존재 하지 않습니 다 . 이 지 령 은 /etc/selinux/rss/co 
ntexts/files/file_contexts.local 문맥 을 추가합니 다 . 

/test system_u :obj ec t_r : httpd_ s ys_co nte nt_t : sO 

2 . 문맥을 삭제하기 위 하여 보안관리 자로 semanage fcontext -d 화일이름 \ 

등록부이름 지령을 실행하는데 여기서 화일이를\등록부이름 은 

file_contexts.local 에 서 의 첫 번 째 부분입 니 다 . 다음의 실 례 는 

ffle_contexts.local 에 서의 문맥 실례입니다 . 

/test system_u :obj ec t_r : httpd_ s ys_co nte nt_t : sO 

제 7 절 이근고와 default_t 형 

확장된 속성을 지원하는 화일체계에서 디스크에서 보안조작체계 문맥이 
부족한 화일이 접근할때 보안조작체계 방책으로 기정적인 문맥을 가지고 
있으면 승인해 줍니다 . 공동 방책 들에 서 는 기 정 문맥 들은 file_t 형 을 사용합 
니다 . 이 것만 사용하게 한다면 디 스크상에서 문맥 이 없는 화일은 방책 에 
서 구별할수 있으며 일 반적 으로 제 한받는 령역 으로 접 근할수 없게 됩 니다 . 
file_t 형은 정확하게 표식이 불는 화일체계에 존재하지 않을수 있는데 그 
것은 체계에서 모든 화일들은 보안조작체계가 실행될때 보안문맥을 가지 
고있 기 때 문이 며 file_t 형 은 화일 문맥 구성 화일 (file-context 

configuration : /etc/selinux/targeted/context/files/ 에서 있는 화일들은 화일과 등 
록부들에 대한 문맥을 정의하고있습니다 . 이 등록부의 화일들은 restorecon 
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로 읽을수도 있고 setfilesto 에 의하여 기정문맥을 회복할수도 있습니다)에 
서 결코 사용되지 않습니다 . default_t 형은 화일문맥구성화일 ((file-context 
configuration) 에서 어떤 다른 패턴과 일치되지 않는 화일에서 사용되므로 
화일과 같은것들은 디스크에서 문맥을 가지고있지 않는 화일로부터 식별 
될수 있고 일반적 으로 제 한받는 령역 으로의 접 근이 거 절됩 니다 . 높은준위 
의 등록부를 /mydirectory/ 로 새 로 만든다면 이 등록부는 defeult_t 형 으로 표 
식이 붙을수 있습니다 . 봉사가 등록부에 접근할 필요가 있다면 이 배치는 
화일문맥구성 화일을 갱신합니다 . 

제 8 절 보안조작체계 표식보존 

이 절에서는 체계안의 화일과 등록부를 복사 , 이동시킬 때 보안조작체 
계표식과 관련하여 어떤 문제가 발생하는가를 서술합니다 . 또한 복사할 
때 문맥을 어떻게 보존하는가를 서술합니다 . 

1. 화일 과 등록부복사 

화일 또는 등록부를 복사할 때 새로운 화일 또는 등록부가 만들어집니 
다 . 새 화일이나 등록부의 문맥은 기정표식할당규칙에 따라 결정되며 초 
기의 화일이나 등록부의 문맥으로 하지 않습니다 . 실례로 사용자등록부에 
서 만들어진 화일들은 admin_home_t 형으로 표식이 붙습니다 . 

#touch filel 
#ls -Z filel 

-rw-r--r-- root root root:object_r:admin_home_t:sO filel 
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만일 다른 등록부 즉 례하면 /etc/ 로 복사한다면 새 화일은 /ect/ 등록부에 
기 정표식할당규칙 이 적 용되 지 않고 만들어집 니 다 . 복사된 화일 은 초기의 
문맥을 가지고있지 않습니다 . 

#ls -Z fflel 

-rw-r--r-- root root root:object_r:admin_home_t:sO fflel 

# cp fflel /etc/ 

-rw-r--r-- root root root:object_r:etc_t : sO /etc/file 1 
filel 가 /etc/ 로 복사될 때 만일 /etc/filel 가 존재 하지 않는다면 /etc/filel 는 
새 화일로 만들어집 니 다 . 실례 에서 보는 바와 같이 /etc/filel 는 etc_t 형 으로 
표식 불어 집 니 다 . 

화일이 이미 존재하는 경우 복사할 때 존재하는 화일의 문맥은 보존되 
며 만일 사용자가 cp 지령에서 선택항목을 사용하지 않으면 초기화일의 보 
안문맥이 - preserve=context 로 보존됩니다 . 보안조작체계규칙은 복사하는 
과정 에 문맥을 보존할수 있습니다 . 

보 안조작체 계문맥없 이 복사 

cp 지령으로 화일을 복사할 때 선택항목이 없으면 형은 targeted, 어미등 

록부로부터 계 승됩 니다 . 

#touch filel 
#ls -Z fflel 

-rw-r--r-- root root root:object_r:admin_home_t:sO filel 
#ls -dZ /var/www/html/ 

drwxr-xr-x root root system_u:object_r:httpd_sys_content_t:sO /var/www/ht 

# cp fflel /var/www/html/ 

$ Is -Z /var/www/html/file 1 

-rw-r--r-- root root root:object_r:httpd_s ys_content_t : sO /var/www/html/file 1 

이 실 례 에 서 filel 는 사용자등록부에 만들어 지 며 admin_home_t 형 으로 표 
식 을 붙인다 . AvarAvww/html/ 등록부는 httpd_sys_content_t 형 으로 표식 이 붙습 
니 다 . Is -dZ /vai7www/html/ 지 령 으로 알수 있습니 다 . filel 가 AvarAvww/html/ 로 
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복사할 때 httpd_sys_content_t 형 으로 계 승되 는데 Is -Z Avar/www/html/file 1 지 
령으로 알아볼수 있습니다 . 

복사할때 보안조작체계 문맥보존 

cp-preserve=context 지령을 사용하여 복사할 때 문맥을 보존합니다 . 

#touch fflel 
#ls -Z fflel 

-rw-r--r-- root root root:object_r:admin_home_t:s0 fflel 
#ls -dZ /var/www/html/ 

drwxr-xr-x root root system_u:object_r:httpd_sys_content_t:sO /var/www/ht 
ml/ 

# cp -- preserve=context fflel /var/www/html/ 

# Is -Z /var/www/html/file 1 

-rw-r--r-- root root root:object_r:admin_home_t : sO /var/www/html/file 1 
이 실 례 에 서 filel 는 사용자등록부에 만들어 지 며 admin_home_t 형 으로 표 
식 이 붙습니 다 . 广 varAvww/html/ 등록부는 httpd_sys_content_t 형 으로 표식 이 붙 
으며 Is -dZ 八 ^ arAvww/html/ 지령을 리 용하여 알수 있습니다 . 

-preserve=context 선택항목을 사용하여 복사하는 과정에 보안조작체계문맥 
을 보존하며 그 결과는 ls-Z 八 ar/www/html/filel 지 령 으로 알수 있고 fflel 의 
admin_home_t 형은 /var/www/html/ 로 복사할 때 보존됩니다 . 

문맥 의 복사와 변경 

cp -Z 지 령 을 사용하여 목적 하는 문맥 을 변경합니 다 . 다음 실례는 사용 

자등록부에 서 실 행 된것 입 니 다 . 

#touch fflel 

#cp -Z system_u:object_r : samba_share_t : sO filel ffle2 
#ls -Z filel file2 

-rw-r--r-- root root root:obiect_r:admin_home_t:s0 filel 
-rw-r--r-- root root system_u:object_r : samba_share_t : sO ffle2 
#rm fflel ffle2 

이 실례 에서 문맥은 -Z 선택 항목으로 정 의합니 다 . -Z 항목이 없으면 file2 
은 root:object_r:admin_home_t 문맥 으로 표식 이 붙을것 입 니 다 . 
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화일덧 쓰기 

화일을 덧쓰기할 때 보안문맥은 보존됩니다 . 실례를 들면 

# touch /etc/fflel 

# Is -Z /etc/file 1 

-rw-r--r-- root root root:object_r:etc_t : sO /etc/file 1 

# touch /tmp/file2 

# Is -Z /tmp/file2 

-rw-r—r— root root root_u:object_r : user_tmp_t : sO /tnp/file2 

# cp /tmp/file2 /etc/file 1 

# Is -Z /etc/file 1 

-rw-r--r-- root root root:object_r:etc_t : sO /etc/file 1 

이 실례 에서 두 화일이 복사되 였습니 다 . / etc/filel 는 etc_t 형으로 표식 붙고 
/tmp/file2 은 user_tmp_t 형으로 표식 이 붙습니다 . cp /tmp/file2 /etc/file 1 지 령은 
filel 를 file2 로 복사합니다 . 복사후에 Is -Z /etc/filel 지 령 은 filel 는 etc_t 형으 
로 표식이 붙는것을 알수 있습니다 . 

2. 화일과 등록부의 이동 

화일과 등록부들은 이동할 때 현재의 보안조작체계문맥을 보존합니다 . 
많은 경우 이동할 때 정확히 할당되지는 않습니다 . 다음의 실례에서 사용 
자등록부로부터 八 ar 八 vww/html/ 로 이 동하는것 을 보여 주는데 Apache HTTP 
봉사기로 사용할수 있게 합니다 . 화일을 이동한 후 정확한 보안문맥은 계 
승되지 않습니다 . 

1. cd 지 령 을 파라메 터 가 없 이 실 행 하여 사용자등록부로 변 경합니 다 . 사 
용자등록부에서 touch filel 지령을 실행하여 화일을 만듭니다 . 이 화일은 
user_home_t 형 표식이 붙습니다 . 

$ Is -Z filel 

-rw-rw-r— userl group 1 unconfined_u:object_r : user_home_t:sO filel 

2. Is -dZ 八 ^ arAvww/html 지 령 을 실 행 하여 /vaiywww/html/ 등록부의 보안문맥 
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을 볼수 있습니다 . 


#ls -dZ /var/www/html/ 

drwxr-xr-x root root system_u:object_r:httpd_sys_content_t:sO /var/www/ht 
ml/ 

기 정 으로 Avar/www/html/ 등록부는 httpd_sys_content_t 형 으로 표식 붙습니 다 . 
화일 과 등록부는 /var/www/html/ 등록부에 이 형 을 계 승하여 만들어지 며 마 
찬가지로 이러한 형으로 표식이 붙습니다 . 

3 . 체 계 관리 자로 mv file 1 / var/www/html/ 지 령 을 실 행 하 여 file 1 를 
八 ^ ai7www/html/ 등록부로 이동합니다 . 이 화일이 이동한 후 filel 의 형은 
user_home_t 형 으로 보존됩 니 다 . 

# mv filel /var/www/html/ 

# Is -Z /var/www/html/file 1 

-rw-rw-r— userl groupl unconfined_u:obj ect_r : user_home_t:sO /var/www/ht 
ml/file 1 


기 정 으로 Apache HTTP 봉사기 는 user_home_t 형 이 붙은 화일 을 읽 을수 없 
습니다 . 만일 웨브페지를 포함한 모든 화일이 user_home_t 형으로 표식이 
붙거 나 Apache HTTP 봉사기 가 읽 을수 없는 다른 형 으로 되 여 있으면 웨 브 
열 람기 나 본문기 초의 Web 열 람기 로의 접 근을 금지 시 킵 니다 . 

3. 기 정 보안조작체계문맥을 검 사 

화일 들과 등록부들이 정 확한 보안조작체 계문맥 을 가지 고있는가 
matchpathcon 지 령 으로 검 사할수 있습니 다 (imtchpathcon(8) 안내 페 지 를 참고 ). 
다음의 실 례 는 matchpathcon 지 령 을 리 용하여 /var/www/html/ 등록부에 서 정 
확히 표식이 불었는가를 보여줌니다 . 

1 . 체 계 관리자로 touch /var/www/html/file{ 1,2,3 } 지령을 실행 하여 3 개의 
화일 (filel, file2, file3) 을 만듭니다 . 이러한 화일들은 /vai7www/html/ 등 
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록부로부터 httpd_sys_content_t 형 을 계 승합니 다 . 

# touch /var/www/html/file { 1,2,3 } 

# Is -Z /var/www/html/ 

-rw-r--r-- root root root:obiect_r:httpd_sys_content_t:sO filel 
-rw-r--r-- root root root:obiect_r:httpd_sys_content_t:sO file2 
-rw-r--r-- root root root:object_r:httpd_sys_content_t : sO ffle3 

2. 체 계 관리 자로 chcon -t samba_share_t 八 ^ aiVwww/html/filel 지 령 을 실 행 하 
여 filel 의 형 을 samba_share_t5 - 변 경 시 킵 니 다 . 주의 할것 은 Apache 
HTTP 봉사기는 samba_share_t 형으로 표식이 붙은 화일이나 등록부를 
읽을수 없습니다 . 

3. matchpathcon -V 선 행항목으로 보안조작체 계 의 기 존방책 과 현재 보안 
조작체계의 방책을 비 교합니 다 . matchpathcon -V 八 ^ ar/www/html/* 지 령 
을 실행하여 /var/www/html/ 등록부안에 있는 모든 화일을 검사합니 
다 . 

#matchpathcon -V /var/www/html/* 

/var/www/html/file 1 has context root:object_r:samba_share_t:sO, should be 
system_u :obj e ct_r : httpd_s ys_co nte nt_t :s0 
/var/www/html/file2 verified. 

/var/www/html/file3 verified. 

다음의 결과는 matchpathcon 지령으로 filel 가 samba_share_t 형으로 표식이 
붙었 다는것 을 보여 주지 만 httpd_sys_content_t 형 으로 표식 이 붙어 야 한다는 
것 을 보여 줍니다 . 

/var/www/html/file 1 has context root:object_r:samba_share_t:s0, should be 
system_u:object_r : httpd_s ys_co ntent_t :s0 

표식 문제를 해결하기 위 하여 또 Apache HTTP 봉사기가 filel 에 접근하기 
위 하여 체 계 관리 자로 matchpathcon -v Avar/www/html/filel 지 령 을 실 행 합니 
다 . 

#restorecon -v /var/www/html/file 1 

restorecon reset /var/www/html/file 1 context root : object_r : samba_share_t:sO 
>system_u :obj ect_r : httpd_s ys_co nte nt_t:sO 
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4. tar 를 리 용한 화 일 보존 

tar 는 기정으로 확장속성들을 보존유지하지 않습니다 . 확장속성들에 보 
안조작체계문맥들이 보관되기때문에 이 문맥들이 화일보존시 에 잃어질수 
도 있습니다 . tar -selinux 를 사용하여 이 문맥들을 보존유지하는 보존물들 
을 만들수 있습니다 . 만일 어떤 tar 보존물이 확장속성이 없는 화일들을 포 
함하고있거 나 혹은 사용자가 확장속성 을 체계기 정설정 과 같이 하려 면 
restorecon 을 거 쳐 보존물을 풀어놓습니 다 . 

#tar -xvf archive.tar I /sbin/restorecon -f - 

다음의 실례 에서는 보안조작체계문맥 들을 보존유지 하는 tar 보존물을 만 
드는 과정을 보여줌니다 . 

1 . 체 계 관리 자로 지 령 touch /var/www/html/file{ 1,2,3 } 를 실 행 하여 세 개 의 
화일 (filel, file2, file3) 을 만듭니다 . 이 화일들은 Avai7www/html/ 등록부 
로부터 형 httpd_sys_content_t 을 계승합니다 . 

# touch /var/www/html/file {1,2,3} 

# Is -Z /var/www/html/ 

-rw-r--r-- root root root:object_r:httpd_sys_content_t : sO filel 
-rw-r—r— root root root:object_r:httpd_sys_content_t : sO ffle2 
-rw-r--r-- root root root:object_r:httpd_sys_content_t : sO file3 

2. 지령 cd /vaiywww/html/ 을 실행하여 /vaiVwww/html/ 등록부로 갑니다 . 
이 등록부에서 체계 관리 자로 지 령 tar —selinux -cf test.tar file{1,2,3}^ 
실 행 하여 tesUar 라고 불리 우는 Tar 보존물을 만듭니다 . 

3. 체계관리자로서 지 령 mkdir /test 를 실행하여 새 등록부를 하나 만들 
고 지령 chmod 777 /test/ 를 실행하여 이 /test/ 등록부에 모든 사용자들 
이 충분히 접근할수 있게 합니다 . 

4. 지령 cpAvarAvww/html/test.tar /test/ 를 실행하여 /test/ 등록부안에 test.tar 
화일을 복사합니다 . 
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5. 지 령 cd /test/ 를 실행하여 /test/ 등록부에 갑니다 . 이 등록부에서 지 령 
tar-x\f test.tar 를 실 행 하여 Tar 보존물을 푼다 . 

6. 지령 Is -E /test/ 를 실행하여 보안조작체계문맥을 확인합니다 . 

--selinux 가 사용되지 않았을 때 나타나는 default_t^ 되지 않고 형 
httpd_sys_content_t 이 보존유지 된 것 을 알수 있습니 다 . 

-rw-r--r— root root root:object_r:httpd_sys_content_t : sO fflel 
-rw-r--r-- root root root:object_r:httpd_sys_content_t : sO ffle2 
-rw-r--r— root root root:obiect_r:httpd_sys_content_t:sO file3 
-rw-r--r-- root root root:object_r:root_t:s0 test.tar 

7. /test/ 등록부가 더는 필요가 없는 경우 체계관리자로서 지령 rm -ri 
/test/ 을 실행하여 등록부와 그 안의 화일들을 삭제할수 있습니다 . 

모든 확장속성들을 보존유지하는 추가선택 --xattrs 과 같이 tar 에 대한 
자세 한 내 용을 보려 면 tar(l) 의 안내 폐 지 를 참고하여 야 합니 다 . 

제 9 절 정 보수집도구 

이 도구들은 지령행도구들로서 형식화된 출력을 줍니다 . 이것들을 지령 
행관흐름처리의 일부분으로 사용하기는 좀 까다롭기는 하지만 고속으로 
정보를 수집하고 형식 화된 정보를 제공하는 우점 이 있습니다 . 

avcstat 

이 지령은 기동시각부터 접근벡토르의 완충물에 대한 통계량을 간단히 
출력해줄니 다 . 사용자는 초단위 로 시 간간격 을 설정 해주어 실시 간적 으로 
통계량들을 감시할수 있습니다 . 이 지령은 처음에 출력한 이후로 통계량 
들을 갱신시 켜 줍니 다 . 사용되 는 통계 량화일은 /selinux/avc/cache_stats 이 며 
선 택 항목 “-f 화일의 경 로’’를 리용하여 다른 완충기 억 화일을 지 적할수 있 
습니 다 . 
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froot@localhost 〜 1# avcstat 

lookups hits misses allocs reclaims frees 

47517410 47504630 12780 12780 12176 12275 

seinfo (이 지 령 은 현재《붉은별》봉사기 용체계 3.0 판에는 설치 되 여 있지 않 
으므로 참고적으로 볼것 , setools 패키지에 있음 ) 

이 지 령은 클라스 , 형 , 론리형 , 허가규칙 등과 같은 방책의 세부적 인 정 
보들을 서 술하는데 쓰 인 다 . seinfo 는 입 구값으로서 는 policy.conf 화 일 이 나 2 
진방책 화일을 사용하는 지 령행 편의 프로그람입 니 다 . 

seinfo 의 출력은 2 진화일과 원천화일사이에서 가변적입니다 . 실례로 방 
책원천화일 에서 는 여 러개의 규칙 요소들을 간단히 한행 으로 묶어놓기 위해 
서 인용부호 {} 를 사용합니 다 . 이 려 한 방법 을 속성 들에서 도 리용할수 있 
는데 거기서는 하나의 간단한 속성을 하나이상의 형으로 확장합니다 . 이 
것들이 확장되 여 2 진방책화일 에서 더 는 관련 이 없는것 으로 되 기때문에 
탐색결과들에서 되 돌림값 0 을 가집 니 다 . 그러 나 이 전에 인용괄호를 사용 
하였 던 매 한행의 규칙 들이 수많은 개 별적 인 행들로 되 기때문에 규칙 의 
수가 급격 히 증가하게 됩 니다 . 

일부 항목들은 2 진방책에 제공되지 않습니다 . 실례로 neverallow 규칙들 
은 방책을 를파일하는동안에만 검사되고 실행시간에는 검사되지 않으며 
초기의 SID 들은 체계기동시 핵심부에서 적재하는 방책보다 먼저 요구되 
기때 문에 2 진화일의 부분이 아니 다 . 

[root@localhost ]# seinfo 

Statistics for policy file: /etc/selinux/targeted/poliey/poliey.24 

Policy Version & Type: v.24 (binary, mis) 


Classes: 

77 

Permissions: 

229 

Sensitivities: 

1 

Categories: 

1024 

Types: 

3001 

Attributes: 

244 

Users: 

9 

Roles: 

13 

Booleans: 

158 

Cond. Expr.: 

193 

Allow: 

262796 

Neverallow: 

0 

Auditallow: 

44 

Dontaudit: 

156710 
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Type — 仕 ans: 

10760 

Type_change: 

38 

Type_member: 

44 

Role allow: 

2' 

Role_trans: 

237 

Range_trans : 

2546 

Constraints : 

62 

Validate 仕 ans: 

0 

Initial SIDs: 

27 

Fs_use: 

22 

Gen 色 con: 

82 

Portcon: 

373 

Netifcon: 

0 

Nodecon: 

C 

Permissives: 

22 

Polcap: 

2 


[root@localhost ]# 

seinfo 지령은 또한 령역속성을 가진 형의 총개수를 목록화하며 여러개 
의 제 한받는 프로쎄 스들의 총개 수의 추정값을 줍니다 . 

# seinfo -adomain -x I wc -1 
550 

모든 령 역 형들이 다 제한받는것은 아니 다 . 제한받지 않는 령 역들을 보 
려 면 unconfined_domain 속성 을 사용하여 야 합니 다 . 

# seinfo -aunconfined_domain_type -x I wc -1 
52 

허가방식의 령역들은 추가선 택 --permissive 을 리용하여 계 수됩니다 . 

# seinfo --permissive -x I wc -1 

31 ‘ 

우의 지 령 에서 | WC 一 1 부분을 삭제하면 모든 목록을 볼수 있습니 다 . 

sesearch (이 지 령 은 현재 《붉은별》봉사기 용체 계 3.0 판에 는 설 치 되 여 있 
지 않으므로 참고적으로 볼것 , setools 패키지에 있음 ) 

사용자는 sesearch 지령을 사용하여 방책에서 특별한 형에 대하여 람색 
할수 있습니 다 . 이 를 위해서 방책원천화일 이 나 2 진화일 에서 검 색 할수 있 
습니다 . 아래에 실례를 보여줌니다 . 

[scott@localhost ~]$ sesearch --role_allow -t httpd_sys_content_t \ /etc/seli 

nux/targeted/ 

policy/policy. 24 

Found 20 role allow rules: 
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allow system_r sysadm_r; 
allow sysadm_r system_r; 
allow sysadm_r staff_r; 
allow sysadm_r user_r; 
allow system_r git_shell_r; 
allow system_r guest_r; 
allow logadm_r system_r; 
allow system_r logadm_r; 
allow system_r nx_server_r; 
allow system_r staff_r; 
allow staff_r logadm_r; 
allow staff_r sysadm_r; 
allow staff_r unconfined_r; 
allow staff_r webadm_r; 
allow unconfined_r system_r; 
allow system_r unconfined_r; 
allow system_r user_r; 
allow webadm_r system_r; 
allow system_r webadm_r; 
allow system_r xguest_r; 

sesearch 지령은 허가 (allow ) 규칙 의 개 수를 보여 줍니다 . 

# sesearch —allow I wc -1 
262798 

또한 dontaudit 규칙 의 개 수도 보여줍니다 . 

# sesearch —dontaudit I wc -1 
156712 
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제 5 장 사용자에 대한 제한 부여 

《붉은별》봉사기 용체 계 3.0 판은 많은 제 한받는 사용자들을 리용할수 있 
습니다 . 매 봉사기사용자는 보안조작체계방책을 통하여 어떤 보안조작체 
계 사용자에 대 응되 게 되 는데 이 때 봉사기 사용자들은 보안조작체 계 사용자 
들에게 부여된 제약조건들을 계승하게 되며 실례로(사용자에 따라 ) 망을 
리용할수 없거 나 setuid 응용프로그람들을 실 행 할수 없(보안조작체 계방책 이 
허 가하지 않는 한)으며 혹은 대와 sudo 지 령 들을 실행시 킬수 없게 됩 니다 . 
이렇게 하면 사용자로부터 체계를 보호할수 있습니다 . 

제 1 절 봉사기사용자와 보안조작체계사용자의 

대응관계 

보안관리 자로서 지 령 semanage login -1 을 실행시 켜 봉사기 사용자들과 보 
안조작체 계 사용자들사이 의 대 응관계 를 볼수 있습니 다 . 

#semanage login -1 


가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

一 default 一 

user_u 

s0 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 


《붉은별》봉사기 용체계 3.0 판에서 봉사기 사용자들은 기 정 으로 보안조작 
체계의 _defeult_ 가입(이것은 보안조작체계사용자 user_u 에 대응)에 대응 
되 게 됩 니 다 . 지 령 useradd 로 어 떤 사용자가 만들어 질 때 추가선 택 을 주지 
않는 경 우에 는 보안조작체 계 사용자 user_u 에 대 응되 게 됩 니다 . 다음의 실 
례 는 기 정 대 응관계 를 정 의 합니 다 . 
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default 


user 


sO 


제 2 절 useradd 에 의 한 새 로운 봉 
사기사용자에 대한 제한 부여 

《붉은별》봉사기용체계 3.0 판에서 useradd 로 봉사기사용자들을 만들 때 
추가선택 -고를 사용하면 그 사용자가 어느 보안조작체계사용자와 대응되 
는가를 지 적 할수 있습니 다 . 다음의 실례 에서 는 useruuser 라는 새 로운 봉사 
기사용자를 만들고 그것을 보안조작체계사용자 staff_u 에 대응시킴니다 . 
보안조작체계사용자 staff_u 에 대응되는 봉사기사용자들은 령역 staff_t 에서 
실행됩 니 다 . 이 령역 에서 봉사기사용자들은 보안조작체계방책 에서 허 가하 
지 않는 한 setuid 응용프로그람들을 실행할수 없으며 (passwd 와 같음 ) 에나 
sudo 를 실행 할수 없으며 결국 이 려 한 지 령 들을 리 용하지 못하여 사용자들 
이 봉사기 체계의 root 사용자로 될수 없게 됩 니다 . 

1. 체 계 관리 자로서 지 령 useradd -Z staff_u useruuser 를 실 행 하여 보 안조작 
체 계 사용자 staff_u 에 대 응되 는 새 로운 봉사기 사용자 (useruuser) 를 만 
듭니 다 . 

2. 보안관리 자로서 지 령 semanage login -1 을 실 행 하여 봉사기 사용자 
useruuser 와 staff_u 사이의 대응관계를 볼수 있습니 다 . 

# /usr/sbin/semanage login -1 


가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

一 default 一 

user_u 

sO 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 

useruuser 

staff_u 

sO 


체 계 관리 자로서 지 령 passwd useruuser 를 실 행 시 켜 봉사기 사용자 
useruuser 에 통과암호를 할당합니다 . 
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# passwd useruuser 

useruuser 사용자의 암호 변경 중 

새 암호 : 

새 암호 다시입 력 : 

passwd: 모든 인증통표가 성공적으로 갱신되였습니다 . 

3. 현재의 대화접속에서 탈퇴하고 봉사기체계의 useruuser 라는 사용자로 

가입합니 다 . 가입할 때 pam_selinux 는 봉사기 사용자를 보안조작체 계 

사용자로 대응(이 경우에는 staff_u) 시키며 이때 생기게 되는 보안조 

작체 계 문맥 을 설 정합니 다 . 그다음 이 문맥 을 가지 고 봉사기 사용자의 

쉘 이 실행되 게 됩 니다 . 지 령 id -Z 를 실행시키 면 봉사기 사용자의 문 

맥을 볼수 있습니다 . 

[useruuser@ localhost ~]$ id -Z 
staff_u:s taff_r : s taff_t:sO 

4. 봉사기체계의 useruuser 의 대화접속에서 탈퇴하고 자기의 account 로 
다시 가입갑니 다 . 만일 봉사기 체계의 사용자 useruuser 를 삭제하려 면 
봉사기 체 계 의 root 사용자로 지 령 userdel - r useruuser 를 실 행 시 키 며 그 
의 사용자등록부도 삭제하려면 그 뒤에 사용자등록부를 쓰면 됩니 
다 . 


제 3 절 semanage login 에 의 한 현 존사 
용자에 대한 제한 부여 

만일 어떤 봉사기사용자가 보안조작체계사용자 user_u 에 대응된다면 이 
때 대응되는 보안조작체계사용자를 변경시키기 위하여서는 지령 semanage 
login 을 리용하여 야 합니 다 . 아래의 실례 에서 는 newuser 라는 새 로운 봉사 
기 사용자를 만들고 그것 을 보안조작체 계 사용자 staff_u 에 대 응시 킵 니다 . 

1. 체 계 관리 자자로서 지 령 useradd newuser 를 실 행 시켜 새 로운 봉사기 사 
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용자 newuser 률 만듭니 다 . 이 사용자는 기 정 대 응을 사용하기 때 문에 
semanage login -1 의 출력 에 나타나지 않습니다 . 


#semanage login -1 

가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

一 default 一 

user_u 

sO 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 


2. 봉사기 사용자 newuser 를 보안조작체 계 사용자 staff_u 에 대 응시 키 려 면 

보안관리자로서 다음의 지령을 실행합니다 . 

#semanage login -a -s staff_u newuser 
-a 라는 추가선택은 새로운 기록을 추가한다는것이며 -s 는 봉사기사 
용자에 대 응하는 보안조작체 계 사용자를 지 적합니 다 . 마지 막인수인 
newuser 는 특정 한 보안조작체 계 사용자에 대 응시 키 려 고 하는 봉사기 
사용자입 니 다 . 

3. 봉사기사용자 newuser 와 staff_u 사이의 대응관계를 보려면 보안관리 
자로 지 령 semanage login -1 을 실 행합니 다 . 


# /usr/sbin/semanage login -1 

가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

— default — 

user_u 

sO 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 

newuser 

staff_u 

sO 


체계관리자로 지 령 passwd newuser 를 실행하여 봉사기사용자 newuser 

에 통과암호를 할당합니다 . 

# passwd newuser 

newuser 사용자의 암호 변경 중 

새 암호 : 

새 암호 다시입 력 : 

passwd: 모든 인증통표가 성공적으로 갱신되였습니다 . 

4. 현재의 대화접 속에서 탈퇴 하고 봉사기 사용자 newuser 로 가입합니 다 . 
지령 id -Z 를 실행하여 newuser 의 보안조작체계문맥을 볼수 있습니 
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다. 


[newuser@localhost 시 $ id -Z 
staff_u : staff_r:staff_t :sO 

5. 봉사기 체 계 의 newuser 대 화접 속을 탈퇴 하고 자신 의 계 산자리 (account) 
로 도로 가입갑니 다. 만일 봉사기 체계의 사용자 newuser 를 삭제 하려 
면 체계관리자로 지 령 userdel -r newuser 를 실행시키 며 그의 사용자 
등록부도 삭제하려면 그 뒤에 사용자등록부를 쓰면 됩니다. 또한 봉 
사기 사용자 newuser 와 user_u 사이 의 대 응관계 도 삭제 됩 니 다. 


# /usr/sbin/userdel -r 

newuser 


# /usr/sbin/semanage 

login -1 


가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

一 default 一 

user_u 

s0 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 


제 4절 기정대응관계의 변경 

《붉은별》봉사기 용체계 3.0 판에서 봉사기 사용자들은 기 정 으로 보안조작 
체계의 _산맨1山:_가입(이것은 차례로 보안조작체계사용자 user_u 에 대응) 
에 대 응되 게 됩 니다. 만일 새 로운 봉사기 사용자들을 만들고 이 때 어 떤 보 
안조작체계사용자에 특별히 대응되지 않은 사용자들을 기정으로 보안조작 
체계 사용자 staff_u 에 대 응시 키 려 면 semanage login 를 리 용하여 기 정 대응관 
계를 변경시킬수 있습니다. 

실례로 봉사기체계의 root 사용자로서 다음의 지령들을 실행하면 기정대 
응관계 를 1]8예_11로부터 staff_u 로 변경할수 있습니다. 

#semanage login -m-S rss-s ”staff_u，’ -rsO 一 default 一 

보안관리자로서 지 령 semanage login -1 을 실 행 하여 _ default __가입 이 
staff_u 에 대응되는것을 확인할수 있습니다. 
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#semanage login -1 

가입 사용자이름 

보안조작체계사용자 

MLS/MCS 범 위 

一 default 一 

staff_u 

sO 

root 

root 

s0-sl5:c0.cl023 

system_u 

system_u 

s0-sl5:c0.cl023 


만일 새로운 봉사기 사용자가 만들어 지 고 어떠 한 보안조작체계 사용자도 
지적되지 않았다면 혹은 현존 봉사기사용자가 가입하고 그것이 semanage 
login -1 의 출력 물의 그 어 떤 특정입 구점 과도 정 합되 지 않는다면 이 려 한 
사용자들은 _ default 가입 에 서 처 럼 staff_u 에 대 응되 게 됩 니 다. 

기정동작으로 도로 변경시키려면 봉사기체계의 root 사용자로 다음의 지 
령 을 사용하여 _ defeult __가입 을 보안조작체 계 사용자 user_u 에 대 응시 켜 야 
합니 다. 

#semanage login -m -S rss -s ” user_u” -r sO 一 default 一 

제 5 절 사용자가 실 행 하는 응용프 
로그람에 대한 론리형 

봉사기 사용자들은 쓰기 접 근권 한을 가지 고있는 자기 의 사용자등록부들과 
/tmp/ 에서 응용프로그람(사용자의 권한을 계승하는 응용프로그람)들을 실 
행할수 없는데 이 렇게 하면 결함이 있거 나 악의 적 인 응용프로그람들이 사 
용자소유의 화일들을 변경하지 못하게 됩니다.《붉은별》봉사기용체계 3.0 
판에서는 기정으로 령역 guest_t 에 있는 봉사기사용자들이 자기의 사용자 
등록부들이 나 /tmp/ 에 서 응용프로그람들을 실 행 할수 없습니 다. 그러 나 령 
역 user_t 와 staff_t 에 있는 봉사기사용자들은 기정으로 자기의 사용자등록 
부들이 나 /tmp/ 에 서 응용프로그람들을 실 행할수 있습니 다. 

론리 형 들은 이 려 한 동작을 변경 시 키 는데 유효하며 setsebool 지 령 으로 구 
성 되 게 됩 니다. setsebool 지 령 은 보안관리자로 실행되 여 야 합니 다. 지 령 


74 



setsebool -P 는 영구적으로 변경시킴니다. 추가선택 내를 사용하지 말아야 
재 기동되 여 도 변경 이 보존되 지 않습니 다. 

guest_t 

령 역 guest_t 에 있는 봉사기사용자들이 자기의 사용자등록부들과 /tmp/ 에 
서 응용프로그람들을 실행할수 있게 하려면 다음과 같이 합니다. 

#setsebool -P allow_guest_exec_content on 

user_t 

령역 user_t 에 있는 봉사기사용자들이 자기의 사용자등록부들과 /tmp/ 에 
서 응용프로그람들을 실행하지 못하게 하려면 다음과 같이 합니다. 

#setsebool -P allow_user_e xec_co nte nt off 

staff_t 

령 역 staff_t 에 있는 봉사기사용자들이 자기의 사용자등록부들과 /tmp/ 에 
서 응용프로그람들을 실행하지 못하게 하려면 다음과 같이 합니다. 
#setsebool -P allow_staff_e xec_co nte nt off 
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제 6 장 프로쎄스에 대한 방책관리 


응용프로그람에 대한 방책작성의 기본목적은 그 응용프로그람이 다른 
응용프로그람이나 체계의 정상적인 기동에 영향을 주지 않도록 하자는데 
있습니다. 

1절에서는《붉은별》봉사기 용체계 3.0 판에서 alternatives 응용프로그람에 
대한 보안방책작성을 통하여 응용프로그람에 대한 방책작성방법을 소개 
합니 다. 

2 절 에서 는 보안방책 에서 제 공하고있는 론리값을 리용한 봉사대몬의 접 
근권 한관리 방법 을 소개 합니 다. 

방책 작성 에 서 반드시 지 켜 야 할 기 본원칙 은 〈〈붉은별》봉사기 용체 계 3.0 
판의 보안목표를 위반하지 않도록 하는것 입니다. 

제 1 절 응용프로그람에 대 한 방책관리 

방책모둘을 작성하기 전에 우선 응용프로그람에 대한 정보를 수집하고 
검사환경을 설정하여 야 합니다. 

alternatives 는 현재 기 정보안방책 에서 방책모둘로 정의되 여있지 않다. 

《붉은별》봉사기 용체계 3.0 판에서 는 다음과 같은 문제 점 을 해 결하기 위 
하여 alternatives 에 대 한 방책 모둘작성 을 제 안하게 됩 니 다. 
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1. 문제 점 


alternatives 지 령 을 리 용한 우편봉사기 의 절환이 보안방책 에 의 해 허 가 
되지 않습니다. 

체계관리자 (sysadmj •역할)는 다음과 같은 지령으로 전자우편봉사기를 
절환하려고 합니다. 

#altematives -config mta 

허 가방식 (permissive) 에서 이 지 령을 실행하면 다음과 같은 설정 화면 이 
현시 됩니 다. 



그림 6. altemativs 프로그람의 실행 


체계관리자는 수자 1 을 입력하여 우편봉사기률 postfix 로 절환하려고 
합니다. 

만약 봉사기 용체 계 가 시 행방식 (enforcing) 으로 기 동하고있는 경 우에 는 
설 정화면조차 현시되 지 않습니 다. 

alternatives 프로그람은 /usr/sbin 등록부안의 기 호련결화일 sendmail 에 대 
한 속성 값을 변경 시 킵 니 다. /usr/sbin/sendmail 화일은 bin_t 로 표식 되 여 있 
으며 rss 형보안방책 에서는 체계 에 대 한 완전성보호를 실현하기 위하여 
bin_t 형 에 대 한 변 경 을 rpm_t 형 을 가진 패 키 지 관리 프로그람에 만 허 가하 
고있습니다. 
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2. alternatives 프로그람의 접 근권 한 

alternatives 프로그람은 기정지 령을 결정하기 위한 기호련결들을 유지관 

리하는 하나의 프로쎄 스입 니 다. 

- alternatives 프로그람은 체 계 관리 자에 게 허 가된 령 역 ( sysadm _ t ) 과 구 
별되 는 독자적 인 령역 으로 동작하여 야 합니 다. 

- alternatives 프로그람은 체계 관리자 ( sysadmj •역할)만이 실행 할수 있 
습니 다. 

- alternatives 프로그람은 / etc / alternatives 등록부안의 기호련결화일들에 
대한 쓰기권한을 요구합니 다. 

- alternatives 프로그람은 / var / lib / alternatives 등록부안에 있는 alternatives 
상태 정 보화일들에 대 한 읽 기권한을 요구합니 다. 

- alternatives 프로그람은 / usr / sbin 등록부에 대 한 쓰기권 한을 요구합니 
다. 

- alternatives 프로그람은 / usr / lib 등록부안의 화일들에 대 한 쓰기권한을 

요구합니 다. 

- alternatives 프로그람은 / usr / share / man 등록부안의 화일들에 대한 쓰기 
권한을 요구합니다. 


3. 방책작성 


res 형보안방책 에서 매 방책 모둘은 다음과 같은 3 개의 화일들로 이 루어 
져있습니다. 

형시 행규칙 화일 (. te ), 외 부대 면부화일(.均, 보안표식설정 화일(.反) 
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다음의 지령으로 다음과 같은 3 개의 화일을 /usr/share/selinux/devel 등록 
부안에 생 성합니 다. 


#cd /usr/share/selinux/devel 
#touch altema 仕 ves.fc 
#touch alternatives, if 
#touch altema 仕 ves.te 

다음과 같은 순서 로 alternatives 에 대 한 방책 을 작성 합니 다. 

- 형선언 

방책작성의 첫 단계는 방책모듈에 적합한 령역과 형을 선언하는것 
입니다. 

alternatives 방책 모듈에서 는 다음과 같은 형들을 선언 합니다. 

■ alternatives_t - alternatives 응용프로그 람 (/usr/sbin/alternatives) 에 
대한 령역형 

■ alternatives_exec_t - alternatives 응용프로그람실행화일에 대한 
형 

■ alternatives_var_lib_t - 八^ ar/lib/alternatives 등록부에 보관되는 화 
일들의 형 

■ alternatives_etc_t - /etc/alternatives 등록부에 보관되는 화일들의 
형 

alternatives_t^ alternatives_exec_t 형 을 제외 한 나머 지 형들은 alterna 
tives 응용으로그람 에 의해 조종되 는 자원들에 할당되 는 형 들입 니 
다. 

이상의 형들을 alternatives.te 화일에서 다음과 같이 선 언 합니 다. 
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매 형선언은 련관된 대면부를 호출합니다. 실례로 files _ type 라는 
대 면부는 alternatives _ var _ lib _ t 형 으로 표식 된 화일들이 일 반화일 속 
성 을 가진 다는것 을 정 의합니 다. 

policy _ module ( alternatives , 1 .0) 

井####################################### 

# Declarations 
type altematives _ t ; 
type altematives _ exec _ t ; 

application _ domain ( alternatives _ t , altematives _ exec _ t ) 
role system_r types altematives _ t ; 

type altematives _ var _ lib _ t ; 
files _ type ( alternatives _ var _ lib _ t ) 

type altematives _ etc _ t ; 
ffles_con 五 ^ file ( alternatives _ etc _ t ) 

응용프로그람에 대 한 초기 규칙작성 

방책 작성 의 다음 단계 는 alternatives 령역 을 위해 필 요한 접 근권 한 
을 허 가하는것 입 니 다. 

《2. alternatives 프로그람의 접 근권한》에 기 초하여 다음과 같이 초기 
규칙들을 추가합니다. 

manage _ dirs _ pattern ( alternatives _ t , alternatives _ var _ lib _ t , alternatives_va 
r _ Mb _ t ) 

manage _ files _ pattern ( alternatives _ t , alternatives _ var _ lib _ t , alternatives_v 
ar _ lib _ t ) 

corecmd _ exec _ bin ( alternatives _ t ) 
corecmd _ exec _ shell ( alternatives _ t ) 
corecmd _ manage _ bin _ files ( alternatives _ t ) 
corecmd _ manage _ all_exec utab le s(alternative s _ t ) 

files _ manage _ etc _ dirs ( alternatives _ t ) 
files _ manage _ etc_file s(alternative s _ t ) 
files _ manage _ etc _ symlinks ( alternatives _ t ) 
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imt _ read _ all _ script _ files ( alternatives _ t ) 
init _ getattr _ all_s crip t_files ( alternatives _ t ) 

kemel _ dontaudit _ read _ system _ state ( alternatives _ t ) 

libs _ manage _ lib _ dirs ( alternatives _ t ) 
libs _ manage _ lib_files ( alternatives — t ) 
libs _ rnanage _ lib _ symlinks ( alternatives _ t ) 

iriscfiles _ manage _ man _ page《alternative s _ t ) 
miscfiles _ read _ localization ( alternatives _ t ) 

- 령 역이행허가와 역할할당 (Aloowing Domain Transition Authorizing 

Roles ) 


alternatives 방책모듈에는 다음과 같은 령 역 이행규칙과 역할할당규 
칙이 포함됩니다. 

■ sysadm _ t ^ 역 이 alternatives _ exec_t 를 통하 여 alternatives 」: 령 역 으 
로 이행하도록 허가하여야 합니다. 

■ sysadm_r 역 할에 alternativest 령 역 을 할당하여 야 합니 다. 

alternatives.if 화일 에 서 다음과 같은 대 면 부들을 정 의 합니 다. 

interface( 、 alter natives_do mtrans ’ 广 
gen _ require( v 

type altematives _ t , alternative s _ exec _ t ; 

，) ^ 

domtrans _ pattern ($ 1, altematives _ exec _ t , alternative s _ t ) 

’) 

interface ( v alternatives_runV 

gen_requireC 

type altematives _ t ; 

，) ^ 

altematives _ dom 仕 ans ($ 1) 
role $2 types altematives _ t ; 

’) ᅴ 

이 대 면 부를 리용하여 sysadm.te 화일 에 다음과 같은 규칙 을 추가합 
니 다. 
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optional _ policy( v 

altematives _ run ( sysadm _ t , sysadm _ r ) 

，) 

- 보안문맥할당규칙 

alternatives.fc 화일은 다음과 같이 작성합니 다. 

/ usr / sbin/alternatives -- gen _ context ( system _ u : object _ r:alternat 

ives _ exec _ t , sO ) 

/ usr / sbin / update - alternatives -1 gen _ context ( system _ u : object _ r:alt 

ematives_exec sO ) 

/ var / lib / alternatvies (/.*)? -- gen _ context ( system _ u : object _ r:alternat 

ives _ var _ lib _ t , sO ) 

4 .설치와 시험 

체계관리자로서 현재 작성된 방책을 콤파일합니다. 

#make 

이 지령에 의하여 / usr / share / selinux/devel 등록부안에는 alternatives.pp 화일 
이 생성됩니다. 

생 성 된 alternatives.pp 화일 을 체 계 에 적 재 하고 fc 화일 에 서 정 의 한 화일 
들에 대 한 보안문맥 을 변경합니 다. 

다음의 지령들은 보안관리자로서 실행하여야 합니다. 

#semodule -i altema 仕 ves.pp 

#restorecon -F -R -v / usr / sbin/alternative s 

#restorecon -F -R -v / usr / sbin / update-alternatives 

체계관리자로서 다음 지령이 성 과적으로 실행되는가를 검사합니다. 

#altematives -config mta 

주의: 

현재 rss 형보안방책 에 는 alternatives 에 대 한 방책 모듈이 포함되 여있습니 
다. 
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따라서 새로 작성된 alternatives 방책 모둘을 설치 하는 경우 이미 작성 되 
여 있는 방책 모둘을 갱 신하게 됩 니다. 


제 2 절 론리형 을 리용한 봉사대 몬의 관리 

rss 형보안방책 에서는 론리 형 부분품을 리용하여 allow 규칙 들을 동적 으로 
시행하거나 취소할수 있는 기능을 제공하고있습니다. 

실례률 들어 samba 봉사대몬에 대하여 다음과 같은 론리형부분품을 제 
공하고있습니 다. 

- allow _ smbd _ anon_write 

samba 가 공개 화일전송봉사를 위해 리 용된 공개 화일들을 변경하도 
록 허 가합니 다. 화일 이 나 등록부들은 ]311151止_(；01^6111；_1\¥_1：로 표식 되 
여있어야 합니다. 

- samba _ create _ home_dirs 

samba 가 새 로운 홈등록부들(실 례 로 PAM 을 리 용)을 창조하도록 허 
가합니 다. 

- samba _ domain_co ntro Her 

samba 가 령 역 조종자로서 동작하며 사용자와 집 단을 추가하고 암 
호를 변경하도록 허가합니다. 


samba _ enable_ho me_dirs 

samba 가 사용자홈등록부를 공유하도록 허가합니다. 
samba _ export _ all_ro 

samba 가 임의의 화일이나 등록부를 읽기전용으로 공유하도록 허 
가합니 다. 
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samba _ export _ all_rw 

samba 가 임의의 화일이나 등록부를 읽기 및 쓰기로 공유하도록 
허 가합니 다. 

samba _ run_unco nfined 

samba 가 제한을 받지 않는 스크립트들을 실행하도록 허가합니다. 
samba _ share_n 色 

samba 가 NFS volumes 을 반출하도록 허 가합니 다. 
samba _ share_fusefs 

samba 가 ntfs/fusefs 볼름을 반출하도록 허가합니다. 
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제 7 장 조작시 제기되는 문제점 

이 장에서는 보안조작체계가 접근을 거부할 때 어떤 일이 일어나는가를 
설명합니 다. 3 가지 가장 중요한 문제점들인 정확한 표식할당에 대한 정 보 
검색，보안조작체계거부사건에 대한 분석, audit2allow 로 전용방책모듈창조 
에 대한 문제점들을 론의합니다. 

제 1 절 접 근거 부시 제기되는 문제 점 

접 근을 허 가하거 나 거 부하는것 과 같은 보안조작체 계 판정 은 완충기 억 됩 
니다. 이 완충기억기를 접 근벡토르고속완충기 ( AVC ) 라고 합니 다. 거부통보 
문들은 보안조작체 계 가 접 근을 거 부할 때 기 록됩 니다. 이와 같은 거 부항 
목들은 〈〈접근벡토르고속완충기 거부》라고도 하며 어느 대몬이 실행되고 
있는가에 따라 여러가지 위치에 기록됩니다. 

대몬 기록위치 

auditd 능동 / var / log / audit / audit . log 

auditd 비 능동, rsyslogd 능동 / var / log/messages 

setroubleshootd , rsyslogd , auditd 능동 / var / log / audit / audit . log . 간단한 거부 

동보문들은 / var / log / messages 에 

전송됩 니 다. 

《붉은별〉〉봉사기용체계 3.0 판은 X 체계를 지원하지 않습니다. 따라서 보 
안조작체계에 의해 접근이 거부될 때를 명확히 알수 없게 됩니다. 실례로 
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웨브싸이트를 열람하는 사용자들은 다음과 같은 오유를 받을수 있습니 
다. 


Forbidden 

You don’t have permission to access file name on this server 

이 상황에서 DAC 규칙 (표준리눅스권한)이 접근을 허가한다면 / var / log/me 
ssages 와 / var / log / audit / audit.log 에서 M SELinux is preventing ” 과 ’’ denied ” 오유 
를 검 색합니 다. 이 것은 보안관리 자 ( secadm_r 역 할)로서 다음과 같은 지 령을 
실행하여 집행될수 있습니다. 

#grep M SELinux is preventing " / var / log/messages 
#grep ’’denied ’’ / var / log / audit / audit . to g 

제 2 절 3 가지 중요한 문제 점 

이 절 에서 는 3가지 중요한 문제 점 들인 표식할당문제, 봉사에 대 한 론리 
값과 포구설정 문제 , 보안조작체 계 방책 전개 ( evolving ) 문제 를 설명합니 다. 

1. 표식 할당문제 

보안조작체 계 를 실 행 하고있는 체 계 들에 서 모든 프로쎄 스들과 화일 들은 
보안관련정 보를 포함하고있는 표식 을 받게 됩 니다. 이 정 보는 보안조작체 
계 문맥 이라고합니 다. 만일 이 표식 들이 정 확하지 않다면 접 근이 거 부될수 
있습니다. 또한 응용프로그람이 부정확하게 표식된다면 그것이 이행하는 
프로쎄스 역시 정확한 표식을 가질수 없으며 보안조작체계는 접근을 거 
부하고 그 프로쎄스는 부정확하게 표식된 화일들을 창조할수 있습니다. 

일 반적 으로 표식할당문제 는 비표준등록부가 봉사에 리용되 는 때 에 제 기 
됩 니 다. 실례 로 관리 자가 웨 브싸이 트에 대하여 Avar 八 vww/html 을 리 용하지 
않고 八 ar / myweb / 를 리 용하려 고 한다고 합시 다.《붉은별》봉사기 용체 계 3.0 
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판에 서 Avar / 등록부는 var _ t 형 으로 표식 되 여있습니다. 창조된 화일들과 등 
록부들, / myweb 는 이 형을 계 승합니다. 또한 새로 창조된 고준위등록부 (/ 
myserver / 와 같은)들은 root _ t 형 ( restorecon 지 령 에 의 하여 default _ t 형)으로 표 
식될수 있습니다. 보안조작체계는 Apache HTTP 봉사기가 이와 같은 형들 
에 접근하지 못하도록 보호합니 다. 그와 같은 접근을 허가하기 위하여 보 
안조작체계는 〜 ar / myweb / 안의 화일들이 httpd 에 접근될수 있는가를 알아 
야 합니 다. 다음의 지 령 은 보안관리 자로서 실 행 되 여 야 합니 다. 


#semanage fcontext -a -t httpd _ sys _ content_t "/ var / myweb (/.*)?" 

이 semanage 지 령 은 〜 ar / myweb / 등록부에 대 한 문맥 을 보안조작체 계 문맥 
구성 화일 ( file - context ) 에 추가합니 다. 1 semanage 지 령 은 문맥을 변경 하지 않 
고 지 령 에 서 입 력 한 값을 보안조작체 계 문맥 구성 화일 안에 입 구점 으로 추가 
합니 다. 체 계 관리 자나 보안관리 자로서 restorecon 지 령 을 실 행 하여 그 변 경 
내용을 적용합니다. 


# / sbin/restorecon -R -v / srv/myweb 

《제 4 장 보안조작체계구성과 관리》에서《제 6 절 화일문맥설정》의 영 
《일관성 변경》에서 file - context 설정 화일 에 문맥을 추가하는 방법 에 대하여 
구체 적 으로 소개 하고있습니 다. 

정 확한 문맥은 무엇 인가? 

matchpathcon 지 령은 어떤 화일경로에 대한 문맥을 검사하고 그것을 
그 경 로에 대 한 기 정표식 과 비 교합니 다. 다음의 실례 에서 는 부정 


/ etc / selinux / targeted / contexts / files / 안의 화일들은 화일들과 등록부들에 대한 문맥을 정 
의 합니다. 이 등록부안의 화일들은 화일들과 등록부들을 기정문맥으로 회복하기 위하여 
restorecon 과 setfiles 에 의 해 읽 어 집 니 다. 
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확하게 표식된 화일들을 포함하고있는 등록부에 대한 mate hp a the on 
지령의 리용방법을 보여줌니다. 

#matchpathcon -V / var / www / html /* 

/ var / www / html / index.html has context root : object _ r : admin _ home _ t : sO , shoul 
d be system_u :obi ect _ r : httpd_s ys_co nte nt _ t : sO 

/ var / www / html/page 1 .html has context root : object _ r : admin _ home _ t : sO , shou 
Id be system _ u:obj ec t _ r : httpd _ s ys_co nte nt _ t : sO 

이 실례에서 index . html 과 pagel . html 화일들은 admin _ home _ t 화일로 

표식됩니다. 이형은 사용자등록부들안의 화일들을 위해 리용됩니 

다. mv 지령을 리용하여 화일들을 사용자등록부로부터 이동하면 

admin _ home _ t 형으로 표식된 화일들을 생성할수 있습니다.. 이형은 

사용자등록부의 밖에 서 는 존재 하지 않습니 다. restorecon 지 령 을 리 용 

하여 그와 같은 화일들을 정확한 형으로 회복합니다. 


#restorecon -v / var / www / html / index.html 

restorecon reset / var / www / html / index.html context root : object _ r : admin_hom 
e _ t : sO - 

> system_u :obj ect _ r : httpd_s ys_co nte nt_t : s0 

등록부안의 모든 화일들에 대한 문맥회복은 - R 선택항목을 리용하 
여 진 행합니 다. 

#restorecon -R -v / var / www / html / 

restorecon reset /var 八 v ww / html/page 1. html context root :ob j ec t _ r : sa mb a_s ha 
re _ t : sO - 

> system_u :obj ect _ r : httpd_s ys_co nte nt_t : s0 

restorecon reset / var / ww w / html / index . html context roo t :ob jec t _ r : samba_s har 
e _ t : sO - 

> system_u :obj ect _ r : httpd_s ys_co nte nt_t : s0 
《제 4 장 보안조작체계 구성 과 관리〉〉에서 〈〈제 8절 보안조작체계 표식 
보존》의 《3. 기 정 보안조작체 계 문맥 을 검 사》에 서 matchpathcon 지 령 
에 대하여 구체적으로 설명하고있습니다. 
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2. 제한된 봉사는 어떻게 실행하고있는가? 

봉사들은 다양한 방법으로 실행될수 있습니다. 이로부터 관리자는 봉사 
들을 실행하는 방법을 보안조작체계체계에 알려주어야 합니다. 이것은 보 
안조작체계방책작성 에 대한 지식 이 없이도 실행시 에 보안조작체계 방책의 
일부가 변경되도록 허가하는 론리 형부분품에 의해 실현될수 있습니다. 이 
와 같은 기능은 보안조작체계방책을 재적재하거나 재콤파일하지 않고도 
NFS 화일체계에 대한 봉사접근을 허가하는것과 같은 변경을 허가합니다. 
또한 비기정포구번호들에서 실행하는 봉사대몬들은 semanage 지 령을 통하 
여 방책설정을 갱신할것을 요구합니다. 

실례로 Apache HTTP 봉사기가 MySQL 과 통신하도록 허가하려면 httpd_c 
an _ network _ connect_db 론리 값을 on 으로 설 정 해 야 합니 다. 

#setsebool -P httpd _ can _ network _ connect_db on 

만일 어떤 특별한 봉사에 대한 접근이 거부된다면 getsebool 과 grep 지령 
을 리용하여 어 떤 론리값들이 접 근을 허 가할수 있는가를 알아보아야 합니 
다. 실례로 getsebool -a I grep ftp 를 리용하여 FTP 와 련관된 론리값들을 
검 색 합니 다. 

#getsebool -a I grep ftp 
allow _ ftpd _ anon_write --> off 
allow _ ftpd _ full_access --〉off 
aliow _ flpd _ use_cifs --> off 
allow _ flpd _ use_nfs --> off 
ftp _ home_d ir - - 〉 off 
httpd _ enable _ ftp_server --〉off 
tflp _ anon_write --〉off 

론리형목록과 그것들의 상태(능동인가, 비능동인가)를 알아보려면 / usr/s 
bin/getsebool -a 지 령을 실행하면 됩니다. 론리값목록에 대하여 매 론리값 
에 대한 설명과 그것들의 상태를 알아보려면 보안관리자 (secadmj •역할)로 
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서 semanage boolean -1 지 령을 실행하여 야 합니 다. 《제 4 장 보안조작체계 
구성과 관리〉〉의 《제 5 절 론리형값》에서 론리형목록과 설정에 대하여 
구체 적 으로 서 술하고있습니 다. 

-포구번호들 

방책설정 (policy configuration ) 에 따라 봉사들이 일정한 포구번호들 
에서 만 실행되 도록 할수 있습니다. 방책을 변경하지 않고 봉사가 
실행하는 포구를 변경하면 봉사를 기동할수 없게 됩 니 다. 실례로 s 
emanage port -1 I grep httpd 지 령 을 보안관리 자 ( secadm_r 역 할)로 실 행 
하면 http 와 련관된 포구들을 보여줌니다. 


#semanage port -1 1 grep http 



http _ cache _ port_t 

tcp 

3128, 8080, 8118 

http _ cache _ port_t 

udp 

3130 

http _ port_t 

tcp 

80, 443, 488, 8008, 8009, 844 


3 

pegasus _ http _ port_t 

tcp 

5988 

pegasus _ https _ port_t 

tcp 

5989 


http _ port_t 포구형 은 Apache HTTP 봉사기 가 청 취 할수 있는 포구들을 
정 의 하며 여 기 서 는 포구 80 과 443, 488, 8008, 8009, 8443 을 정 의 합 
니다. 만일 httpd 가 포구 9876 을 청 취하도록 httpd.conf 를 설 정 하고 
방책 에서 이 것을 반영 하지 않는다면 service httpd start 지 령 은 실패 
하게 됩 니다. 

# / sbin/service httpd start 

Starting httpd : (13 )Permission denied : make _ sock : could not bind to addr 
ess [::] :9876 

(13 )Permission denied : make _ sock : could not bind to address 0.0.0.0:9876 
no listening sockets available , shutting down 
Unable to open logs [ FAILED ] 

다음과 같은 보안조작체계 거부사건이 / var / log / audit / audit.log 화일 에 

기 록됩 니 다. 
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type=AVC msg = audit (1225948455.061:294): avc : denied { name_bind } 
for pid =4997 comm = M httpd M src =9876 scontext = unconfined _ u : system _ r : ht 
tpd _ t : s 0 tcontext = system _ u : object_r port _ t : sO tclass = tcp_socket 

httpd 가 http _ port_t 포구형 으로 설정 되지 않은 포구에서 청 취 하도록 

허 가하려 면 semanage port 지 령 을 실 행 하여 방책 구성 화일 에 포구를 

추가해야 합니다. 2 이 지령은 보안관리자로서 실행하여야 합니다. 

#semanage port -a - t http _ port_t -p tcp 9876 

-a 선택항목은 새로운 레코드를 추가하며 -t 선택항목은 형을 정의 
합니 다. -p 선 택 항목은 포구를 정 의합니 다. 마지 막 인수는 추가하려 
는 포구번호입니다. 

3. 규칙갱신과파괴된 응용프로그람들 

응용프로그람이 파괴될수도 있는데 이때 보안조작체계는 그 응용프로그 
탐의 접근요구를 거부할수 있습니다. 또한 보안조작체계방책들이 갱신 ( ev 
olve ) 되 면 보안조작체계 는 일정한 방식 으로 실행하고있는 응용프로그람을 
인식하지 못할수 있으며 결과 응용프로그람이 기대한대로 동작한다고 해 
도 접근거부를 일으킬수 있습니다. 실례로 새로운 판본의 PostgreSQL 이 
배포된다면 그것은 현재 방책이 이전에는 본적이 없는 동작들을 수행할수 
있으며 결과 접근이 거부될수 있습니다. 

이 와 같은 상황에 서 접 근이 거 부된 다음에 는 audit 2 allow 지 령 을 리 용하 
여 접 근을 허 가하는 전용방책모둘을 창조합니 다. 이 장의 《제 3 절 문제점 


semanage port - a 지 령은 / etc / selinux / targeted / modules / active / ports . local 화일에 입구점을 
추가합니 다. 

주의: 기정으로 이 화일은 보안관리자 ( secadmj •역할)에 의해서만 볼수 있습니다. 
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수정》의 《8. 접 근허 가: audk2allow 》 에 서 audk2allowa 지 령 에 대 하 여 구체 적 
으로 설명하고있습니다. 


제 3 절 문제 점 수정 (Fixing Problems ) 

여 기서는 오유수정 방법들을 취급합니 다. 보안조작체계 규칙 에 앞서 진행 
되는 Linux 권한검사, 기록되지 않는 접근거부사건에 대한 원인분석, 표식 
할당과 론리값에 대 한 정 보를 포함하고있는 봉사에 대 한 사용설명 서 , 전 
반적 인 체계가 아니 라 하나의 프로쎄스만을 허 가방식 으로 실행하도록 하 
는 허가방식의 령역, 거부사건들에 대한 분석, audit2allow 를 리 용한 전용 
방책모둘의 작성 등을 론의합니 다. 

1. Linux 권 한 

접 근이 거부될 때 표준 Linux 권한을 검사합니 다. 《제 1 장 소개》에서 
언급한것 과 같이 대 부분의 조작체 계 들은 자유접 근조종 ( DAC ) 을 리용하여 
접근을 조종하며 사용자가 자기가 소유하고있는 화일들의 권한을 조종하 
도록 허 가합니 다. 보안조작체 계 규칙 들은 자유접 근조종규칙 들 다음에 검 사 
됩 니다. 보안조작체 계 규칙 들은 DAC 규칙 들이 접 근을 거 부하면 리용되 지 
않습니다. 

만일 접근이 거부되고 보안조작체계거부사건들이 기록되 지 않는 다면 1 
s - l 지 령 을 리용하여 표준 Linux 권 한을 조사하여 야 합니 다. 

#ls -1 / var / www / html / index . html 

- rw-r - 1 root root 0 2009-05-07 11:06 index.html 

이 실례에서 index . html 은 root 사용자와 집단에 속하고있습니다. root 사용 
자는 읽기와 쓰기권한 (- rw ) 을 가지며 root 집단의 성원들은 읽기권한 (- r -) 을 
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가지고있습니다. 그밖의 다른 성원들은 권한 (---) 을 가지지 않습니다. 기정 
으로 이와 같은 권한들은 httpd 가 이 화일을 읽지못하도록 합니다. 이 문 
제 점 을 해 결하려 면 chown 지 령 을 리 용하여 소유자와 집 단을 변경 시 켜 야 
합니다. 이 지령은 체계관리자 ( sysadm_r 역할)로서 실행되여야 합니다. 

# chown apache:apache / var / www / html / index . html 

이 것은 기 정설정값을 취하는것 이 며 여 기서 httpd 는 Linux Apache 사용자 
로서 실 행 하도록 되 여있습니 다. 만일 httpd 를 다른 사용자로 실 행 하려 고 
한다면 apache:apache 를 그 사용자로 교체 하면 됩 니다 . 

2. silent 거 부사건 (Possible Causes of Silent Denials ) 들에 대 한 원 
인분석 

어떤 상황에서 접근벡토르고속기 억 완충기 ( AVC ) 거부사건들은 보안조작 
체계가 접근을 거부할 때 기록되지 않을수도 있습니다. 응용프로그람들과 
체 계서고함수들은 자주 자기 의 과제를 수행하는데 필요한것 보다 더 많은 
접근을 요구합니다. 해롭지 않은 응용프로그람조사기능에 대한 AVC 거부 
사건들로 audit 기록화일을 채우지 않고 최소특권을 유지하기 위하여 방책 
은 dontaudit 규칙 들을 리 용하여 권 한을 허 가하지 않고 AVC 거 부사건 들이 
기록되지 않도록 할수 있습니다. Dontaudit 의 결함은 보안조작체계가 접근 
을 거부한다고 해도 거부통보문들이 기록되지 않으며 고장퇴치를 어렵게 
한다는것 입 니 다. 

림시적으로 dontaudit 규칙들을 사용불가능하게 설정하고 모든 거부사건 
들을 기 록시 키 려 고 한다면 보안관리 자 ( secadm_r 역 할)로 다음과 같은 지 령 
을 실행 하여야 합니 다. 

#semodule -DB 
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- D 선택항목은 dontaudit 규칙들을 사용할수 없게 하며 - B 선택항목은 방책 
을 재구축합니다. semodule - DB 지 령을 실행한 다음 접근권한문제점을 발 
생시킨 응용프로그람을 다시 실행하여 그 응용프로그람과 련관된 보안조 
작체 계 거 부사건들이 기 록되 는가를 알아볼니 다. 일부 거 부사건들이 dontaud 
it 규칙들을 통하여 무시되고 조종되기때문에 어느 거부사건들이 허가되여 
야 하는가를 결 정하는데 주의 를 돌려야 합니 다. 

방책 을 재 구축하고 dontaudit 규칙 들을 사용가능하게 설 정 하려 면 보안관 
리자 ( secadm _ r 역할)로 다음의 지령을 실행하여야 합니다. 

#semodule -B 

이것은 방책을 초기상태로 회복합니다. dontaudit 규칙에 대한 중분한 목 
록은 sesearch - dontaudit 지 령 을 실 행 하여 알아볼수 있습니 다. -s domain 선 
택항목과 grep 지령을 리용하여 검색범위를 좁힐수 있습니다. 

#sesearch —dontaudit -s smbd_t I grep squid 

WARNING : This policy contained disabled aliases ; they have been remo 

ved . 

dontaudit smbd_t squid _ port_t : tcp_socket name_bind ; 

dontaudit smbd_t squid _ port_t : udp_socket name_bind ; 

(:이 지령은 setools 패키지를 설치하여야 동작합니다.) 

《6. 가공하지 않은 audit 통보문》과 《7. sealert 통보문》을 참고하여 거부 
사건분석 에 대한 정보를 알아볼수 있습니다. 

3. 봉사에 대 한 사용설명서 

봉사에 대한 사용설명서는 주어진 상황에서 어떤 화일형을 리용하는가 
와 같은 가치있는 정 보와 봉사가 가지 고있는 접 근변경 론리 값을 포함하고 
있습니다. ( NFS 화일체계에 접근하는 httpd 와 같은것) 이 정보는 표준 안내 
폐지나 보안조작체계에 대한 안내폐지에 있을수 있습니다. 
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실례로 httpd _ selinux (8) 안내폐지는 주어 진 상황에서 어떤 화일형을 리용 
하는가에 대한 정보뿐만아니라 스크립트, 화일공유, 사용자등록부안의 등 
록부접 근을 허 가하는 론리값, 등에 대 한 정 보들을 포함하고있습니 다. 봉사 
대몬들에 대하여 보안조작체계정보를 포함하고있는 기타 안내폐지들은 다 
음과 같습니다. 

- Samba : samba _ selinux (8) 안내 폐 지 는 Samba 를 통하여 반출되 는 화일 과 

등록부들이 samba _ share_t 형 으로 표식 되 여 야 한다는것을 설명 할 뿐 
만아니 라 samba _ share_t 가 아닌 다른 형 으로 표식 된 화일들이 Samb 
a 를 통하여 반출되 도록 하는 론리값에 대 한 설명 도 제시합니 다. 

- NFS : nfs _ selinux (8) 안내폐지는 기정으로 화일체계들이 NFS 를 통하여 

반출될수 없다는것과 화일체계들이 반출되도록 허가하기 위하여 nf 
s _ export _ all_ro 나 nfs _ export _ all_rw 와 같은 론리값이 능동으로 되 여 
야 한다는것을 서술하고있습니다. 

- Berkeley Internet Name Domain ( BIND ): named (8) 안내 폐지 는 주어 진 상 

황에 서 어 떤 화일 형 이 리용되 는가률 서 술합니 다. named _ selinux (8) 0 ^ 
내 폐 지 는 기 정 으로 named 는 주령 역 화일 (master zone ) 들에 쓰기할수 
없으며 그와 같은 접근을 허가하려면 named _ write _ master_zones 론리 
값이 능동으로 되여야 한다는것을 서술하고있습니다. 

안내 폐 지 안의 정 보들은 정 확한 화일 형 과 론리값들을 설 정 하도록 하며 
보안조작체계가 접근을 거부하지 못하도록 합니다. 

4. 허 가방식의 령 역 

보안조작체계가 허가방식으로 동작할 때 보안조작체계는 접근을 거부하 
지 않지만 시행방식으로 동작하는 경우에 거부되는 동작들에 대한 사건이 
기 록됩 니 다. 이 전 에는 하나의 령역을 허 가방식 으로 설정 할수 없 었다. 이 
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것은 어떤 상황에서는 문제점을 수정하기 위하여 체계전반을 허가방식으 
로 설정하여 야 하였습니다. 

《붉은별》봉사기 용체계 3.0 판은 허 가방식 의 령역 들을 포함하고있으며 
거기서는 관리자가 체계전반을 허가방식으로 설정하는것이 아니라 하나의 
프로쎄 스가 허 가방식 으로 실 행 하도록 설 정할수 있습니 다. 보 안조작체 계 
검사는 허가방식의 령역에 대하여서도 여전히 진행됩니다. 그러나 핵심부 
는 접근을 허가하고 보안조작체계가 접근을 거부한 상황에 대하여서 는 A 
VC 거부사건을 보고합니다. 

domain _ disable _ trans 론리 값은 응용프로그람 이 제 한을 받는 령 역 으로 이 
행 하지 못하도록 하는데 리용할수 있 습니 다. 따라서 그 프로쎄 스는 initrc _ 
호와 같은 제 한을 받지 않는 령역 으로 실 행합니 다. 그와 같은 론리값을 능 
동으로 설정하는것은 중요한 문제점을 일으킬수 있습니다. 실례로 httpd_d 
isable _ trans 론리 값이 능동으로 된 다면 

⑩ httpd 는 제 한을 받지 않는 initrc _ t 령 역 으로 실 행 합니 다. initrc _ t 령 역 으 
로 실 행 하고있는 프로쎄 스들에 의해 창조된 화일 들은 httpd _ t 령 역 으 
로 실 행 하고있는 프로쎄 스에 의해 창조된 화일과 같은 표식할당규 
칙들을 가질수 없 으며 이 것은 프로쎄 스들이 부정 확하게 표식된 화 
일들을 창조하도록 할수 있습니다. 이것은 이후에 접근문제점을 발 
생 시 킵 니 다. 

• httpd _ t 와 통신하도록 허 가된 제 한을 받는 령역 들은 통신할 

수 없 으며 실 패할수 있습니 다. 

허 가방식 의 령역 들은 다음과 같은 경 우에 리용될 수 있습니 다. 

• 어 떤 문제 점 을 퇴 치 하기 위 하여 전 반적 인 체 계 를 허 가방식 으로 설 정 

하여 체 계전반을 위 험상태 로 만드는것 이 아니 라 하나의 프로쎄 스 


96 



(령역)를 허가방식으로 실행하도록 설정하는 경우 

• 새로운 응용프로그람들에 대한 방책을 창조하는 경우. 이전에는 최소 
방책이 창조되면 체계전반이 허가방식으로 되여 응용프로그람이 실 
행되고 SELinux 거부사건들이 기록되도록 하였습니다. 그 다음 audit 
2allow 가 방책작성에 리용될수 있습니다. 이것은 체계전반을 위험에 
빠지 게 합니 다. 허 가방식 의 령역 으로는 새 로운 방책안에 있는 령 
역 만이 허 가방식 으로 표식될 수 있도록 하며 체 계전반은 위 험상태 에 
놓이 지 않게 됩 니다. 

- 령역을 허가방식으로 설정 

령 역을 허가방식으로 설정 하려면 semanage permissive -a domain 지령을 
실행 하여야 하며 여기서 domain 은 허가방식으로 설정 하려고 하는 령역입 
니 다. 실례로 다음과 같은 지령을 Linux root 사용자로 실행 하면 httpd_t 령 
역 (Apache HTTP 봉사기 가 실 행 하는 령 역 )을 허 가방식 으로 설 정 합니 다. 

#semanage permissive -a httpd_t 

허 가방식 으로 설정한 령 역 목록을 보려 면 semodule -1 I grep permissive 지 
령을 보안관리자로 실행하여야 합니다. 실례로 

#semodule -1 I grep permissive 
perimissive _ httpd_t 1.0 

만일 어떤 령역이 허가방식으로 되는것을 더 이상 요구하지 않는다면 se 
manage permissive -d domain 지 령 을 보안관리 자로 실 행 하여 야 합니 다. 실 
례로 


#semanage permissive -d httpd_t 
- 허가방식령역에 대한 거부사건 
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SYSCALL 통보문은 허 가방식 의 령역 에만 대 응하는 통보문입 니 다 . 다음 
과 같은 실례 는 Apache HTTP 봉사기 에서 의 AVC 거 부사건(그리 고 련관된 
체 계호줄)을 보여줍니다 . 

type=AVC ms^audit(1226882736.442:86): avc: denied { getattr } for 
pid=2427 comm=”httpd” path= , Vvar/www/html/file 1 M dev=dm-0 ino=2841 
33 scontext=unconfined_u:system_r:httpd_t:s0 tcontext= unconfined_u : object 
_r:samba_share_t:s0 tclass=file 

type=SYSCALL msg=audit(1226882736.442:86): arch=40000003 syscall=19 
6 success=no exit=-13 a0=b9alel98 al=bfc2921c a2=54dff4 a3=2008171 
items=0 ppid=2425 pid=2427 auid=502 uid=48 gid=48 euid=48 suid=48 f 
suid=48 egid=48 sgid=48 色 gid=48 tty=(none) ses=4 comm= M httpd M exe=7 
usr/sbin/httpd M subj=unconfined_u:system_r:httpd_t:sO key=(null) 

기 정 으로 httpd_t 령역 은 허 가방식 이 아니 며 따라서 동작이 거 부되 게 되 
며 SYSCALL 통보문은 success=no 를 포함합니다 . 다음의 실례는 semange p 
ermissive -a httpd 지 령 이 httpd_t^ 역 을 허 가방식 으로 설 정 하도록 실 행 되 였 
다는것을 제외하고는 같은 상황에 대한 AVC 거부사건입니다 . 

type=AVC msg=audit(1226882925.714:136): avc: denied { read } for 
pid=2512 comm= "httpd M name= "file 1 M dev=dm-0 ino=284133 scontext=unc 
onfined_u:system_r:httpd_t:sO tcontext= unconfined_u:object_r : samba_share_t 
:s0 tclass=file 

type=SYSCALL msg=audit(1226882925.714:136): arch=40000003 syscall=5 
success:yes exit=ll a0=b962ale8 al=8000 a2=0 a3=8000 items=0 ppid= 
2511 pid=2512 auid=502 uid=48 gid=48 euid=48 suid=48 fsuid=48 egid= 
48 sgid=48 fsgid=48 tty=(none) ses=4 comm:"httpd” exe= *'/usr/sbin/httpd M 
subj=unconfined_u:system_r:httpd_t:sO key=(null) 

이 경우에 비록 AVC 거부사건이 기록되였다고 해도 SYSCALL 통보문에 
서 success=yes 로 보여 준것과 같이 접근은 거부되지 않았다 . 

허가방식의 령역에 대한 정보는 Dan Walsh 의 "Permissive Domains ” 를 
참고하면 됩 니다 . 
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5 . 거부사건의 검색과 보기 

ausearch 와 aureport, sealert 와 같은 많은 도구들이 보안조작체계거 부사건 
들을 검색하고 보는데 리용될수 있습니다 . 

- ausearch 

audit 패 키 지 는 ausearch 지 령 을 제 공합니 다 . ausearch(8 ) 안내 페 지 에 서 는 《a 
usearch 는 여 러 가지 검 색 기준에 기초하여 사건들에 대한 감시 및 기록 대 
몬자료들을 문의할수 있는 도구입 니 다.》라고 서 술되 여있습니 다 . ausearch 
도구는 /var/log/audit/audit.log 에 접근하며 따라서 Linux root 사용자로서 실 
행되여야 합니다 . 

검 색 항목 지 령 

모든 거 부사건들 /sbin/ausearch -m avc 

금일에 대한 거부사건들 /sbin/ausearch -m avc -ts today 

지 난 10 분동안의 거 부사건 들 /sbin/ausearch -m avc -ts recent 

특별한 봉사에 대하여 보안조작체계 거 부사건들을 검 색 하려 면 -c comm, 
-name 선 택 항목을 리 용하며 여 기서 comm.-name 은 실행화일의 이 름입 니 다 . 
실례로 Apache HTTP 봉사기에 대하여서는 httpd, Samba 에 대하여서는 smb 
d 입니다 . 

#ausearch -m avc -c httpd 
#ausearch -m avc -c smbd 

ausearch(8 ) 안내페 지를 참고하면 ausearch 선택항목에 대하여 더 잘 알수 
있습니다 . 

- aureport 

99 



audit 패키지는 aureport 를 제공합니 다 . aureport(8 ) 안내폐지 에서 는 《aurepor 
t 가 audit 체계기 록사건들에 대 한 상세한 보고서 를 작성 하는 도구입 니 다.》 
라고 되 여 있습니 다 . aureport 도구는 /var/log/audit/audit.log 화일 에 접 근하며 
따라서 Linux root 사용자로 실행되여야 합니다 . 보안조작체계 거부목록을 
보고 매 사건이 얼마나 자주 발생하였는가를 보려면 aureport-a 지 령을 실 
행하여야 합니다 . 다음의 실례는 두가지 거부사건들을 보여줌니다 . 

#aureport -a 
AVC Report 


# date time comm subi syscall class permission obi event 


1. 05/01/2009 21:41:39 httpd unconfined_u:system_r : httpd_t : sO 195 file ge 
tattr 

system_u:obiect_r:samba_share_t:sO denied 2 

2. 05/03/2009 22:00:25 vsftpd unconfined_u:system_r : ftpd_t:sO 5 file read 
mcorfined_u:object_r:ci 色 _t:s0 denied 4 

aureport(8) 안내폐지를 참고하면 aureport 선택항목에 대하여 더 잘 알수 

있습니다 . 

6. 가공하지 않은 ( raw ) Audit 통보문 

가공하지 않은 audit 통보문들은 /var/log/audit/audit.lo_l 기록됩니다 . 다음 
의 실례는 Apach HTTP 봉사기 (httpd_^ 역 으로 실 행)가 /var/www/html/file 1 
화일 (samba_share_t 형으로 표식)에 접근하려고 시도하였을 때 발생한 AVC 
거 부사건(체 계 호출과 련관된)을 보여 줍니다 . 

type=AVC msg=audit(1226874073.147:96): avc: denied { getattr } for 
pid=2465 comm= "httpd M path^'Vvar/www/html/file 1 M dev=dm-0 ino=2841 
33 scontext=unconfined_u:system_r:httpd_t:s0 tcontext= unconfined_u:object 
_r:samba_share_t:s0 tclass=file 

type=SYSCALL msg=audit(1226874073.147:96): arch=40000003 syscall=19 
6 success=no exit:-13 a0=b98dfl98 al=bfec85dc a2=54dff4 a3=2008171 i 
tems=0 ppid=2463 pid=2465 auid=502 uid=48 gid=48 euid=48 suid=48 fs 
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uid=48 egid=48 sgid=48 fsgid=48 tty=(none) ses=6 comm= M httpd M exe= M /u 
sr/sbin/httpd ” subj=unconfined_u:system_r : httpd_t:sO key=(null) 

{ getattr } 

괄호안의 이 항목은 거부된 권한을 나타냅니다 . getattr 는 원천프로쎄스 
가 대상화일의 상태정보를 읽으러고 시도하였다는것을 나타냅니다 . 이것 
은 화일을 읽기전에 발생합니다 . 이 동작은 부정확한 표식을 가지는 화일 
에 접근하는것으로 하여 거부되게 됩니 다 . 공통적으로 보게되는 권한들은 
getattr 와 read, write 권한들입니다 . 

comm="httpd" 

프로쎄 스를 기 동한 실 행 화일 입 니 다 . 실 행 화일 의 완전경 로는 체 계 호출 (S 
YSCALL) 통보문의 exe= 부분에서 찾아볼수 있으며 여기서는 exe="/usr/sbin/ 
httpd” 입 니 다 . 

path=' ' 卜/公 rl www/html/fae 1 '' 

프로쎄스가 접근하려고 하는 객체 ( 대상)의 경로입 니 다 . 

scontext="unconfined_u:system_r:httpd_t:sO" 

거 부된 동작을 시 도한 프로쎄스의 보안조작체계문맥입 니 다 . 이 경 우에 
는 Apache HTTP 봉사기 의 보안조작체 계 문맥 이 며 그것 은 httpd_t 령 역 으로 
실 행 하고있습니 다 . 

tcontext="unconfined_u:object_r:samba_share_t:sO" 

프로쎄 스가 접 근을 시 도한 객 체(대 상)의 보안조작체 계 문맥입 니 다 . 이 경 
우에 는 filel 의 보안조작체 계 문맥 입 니 다 . 주의 해 야 할것 은 samba_share_t 형 
은 httpd_t 령 역 으로 실 행 하고있는 프로쎄 스들이 접 근할수 없 다는것 입 니 다 . 
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어 떤 상황에서 는 tcontext 가 scontext 와 일치할수 있습니 다 . 실례 로 프로 
쎄스가 어떤 체계봉사를 실행하려고 할 때입니다 . 이때 그 체계봉사는 프 
로쎄 스률 실 행 하는 봉사의 특징 (실 례 :사용자식 별 자)을 변 경 하려 고 합니 다 . 

또한 tcontext 는 다음과 같은 경 우에 scontext 와 일치 할수 있습니 다 . 프로 
쎄스가 일반적 인 제한보다 더 많은 자원(기 억기와 같은)을 리용하려 고 할 
때입니다 . 이것은 프로쎄스가 그 제한을 파피하도록 허가되는가를 알아 
보는 보안검 사로 됩 니다 . 

체계호출 (SYSCALL) 통보문에서 중요한것은 다음의 2 가지 항목들입니다 . 

• success=no: 거부사건 (AVC) 이 시행되였는가 시행되지 않았는가를 나 

타낸다 . success=no 는 체계호출이 성공하지 못하였다는것을 나타낸 
다.(보안조작체계가 접근을 거부하였다 ) success=yes 는 체계호출이 
성공하였다는것을 나타낸다 . 이것은 허가방식 의 령역 이나 initrc_t 와 
kemeU^f 같은 허 가방식의 령역 에서 만 볼수 있습니 다 . 

• exe= " 八！ sr/sbin/httpd”: 프로쎄스를 기동한 실행화일의 완전경로이며 이 

실 례 에 서 는 exe=7usr/sbin/httpd” 입 니 다 . 

부정확한 화일형은 보안조작체계가 접근을 거부하는 기본원인으로 됩니 
다 . 고장퇴 치 를 진 행 하려 면 원천문맥 (scontext) 과 대 상문맥 (tcontext) 을 비 
교하여 야 합니 다 . 그 프로쎄 스 (scontext) 가 그와 같은 객 체 (tcontext) 에 접 
근할수 있는가 ? 실례로 Apache HTTP 봉사기 (httpd_t) 는 다른 방법 으로 설 
정되지 않는 한 httpd_sys_content_t 와 public_content_t, 등과 같이 httpd_se 
linux(8) 안내폐지 에서 정의한 형들에만 접근할수 있습니 다 . 

7. 접 근허 가: audit 2 allow 

제품제작시에는 이 절에서 제시한 실례를 리용하지 말아야 합니다 . 여 
기서 는 오직 audit2allow 지 령의 리 용방법만을 보여 줍니 다 . 
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audk2allow(l ) 안내폐지에서는 《 audit2allow 는 거부된 조작의 기록화일로 
부터 보안조작체 계 방책 허 가규칙 들을 생 성합니 다.〉〉라고 서 술되 여있습니 다 . 
거부사건들을 분석한 다음 표식변경을 진행하지 않거나 론리값에 의한 
접근허가를 진행하지 않은 경 우 audit2allow 지 령을 리 용하여 국부방책 모듈 
을 창조합니 다 . 접 근이 보안조작체계 에 의 해 거 부된 다음 audit2allow 지 령 
을 실 행하면 이 전에 거 부된 접 근을 허 가하는 형 시 행규칙 들을 보여 줍니 다 . 

다음의 실례 에서 는 audk2allow 지 령 을 리 용하여 방책모듈을 창조하는 실 
례 를 보여 줍니다 . 

1. 거 부사건 과 련 관된 체 계 호출은 八 ar/log/audit/audit.log 에 기 록됩 니 다 . 

type=AVC ms^audit(1226270358.848:238): avc: denied { write } for 
pid=13349 comm=’’certwatch” name= "cache" dev=dm-0 ino=218171 scont 
ext=system_u:system_r : certwatch_t : sO tcontext=system_u:object_r:var_t:s0 tc 
lass=dir 

type=SYSCALL msg=audit(1226270358.848:238): arch=40000003 syscall=3 
9 success=no exit:-13 a0=39a2bf al=3ff a2=3a0354 a3=94703c8 items=0 
ppid= 13344 pid= 13349 auid=4294967295 uid=0 gid=0 euid=0 suid=0 fsu 
id=0 egid=0 sgid=0 fsgid=0 tty=(none) ses=4294967295 comm= M certwatch 
” exe= M /usr/bin/certwatch M subj=system_u:system_r:certwatch_t:sO key=(null 
) ' 

이 실 례 에 서 certwatch(conm=’’certwatch ’’) 는 var_t 형 (tcontext=system_u: 
object_r:var_t:sO ) 으로 표식된 등록부에 대 한 쓰기접 근이 거 부되 였습 
니다 . 거부사건을 분석합니다 . 표식 변경이나 론리값으로의 접근허가 
가 되 지 않는 경 우 audit2allow 지 령 으로 국부방책 모듈을 창조합니 다 . 

2. 단계 1 에서 cert watch 거부사건과 같은 기록된 거부사건을 가지고 audit 

2allow -w -a 지령을 실행하면 접근이 거부된 원인을 리해하기 쉬운 
서 술형식 으로 보여 줌니 다 . -a 선 택 항목은 모든 audit 기 록화일 을 읽 도 
록 하며 -w 선 택 항목은 리해 하기 쉬 운 서 술형식 으로 생 성하도록 합 
니 다 . audit2allow 지 령 은 /var/log/audit/audit.log 에 접 근하며 따라서 체 
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계관리자로 실행되여야 합니다 . 


# audit2allow -w -a 

type=AVC ms^audit(1226270358.848:238): avc: denied { write } for 
pid=13349 comm=’’certwatch” name= "cache" dev=dm-0 ino=218171 scont 
ext=system_u:system_r : certwatch_t : sO tcontext=system_u:object_r:var_t:s0 tc 
lass=dir 

Was caused by: 

Missing type enforcement (TE) allow rule. 

You can use audit2allow to generate a loadable module to allow this ac 
cess. 

이상과 같이 형시행규칙이 없기때문에 접근이 거부되였습니다 . 

3. audit2allow -a 지 령 을 리 용하 여 거 부된 접 근을 허 가하는 형 시 행 규칙 을 

볼수 있습니다 . 

# audit2allow -a 

#============= certwatch_t ============== 

allow certwatch_t var_t:dir write; 

4. audit2allow -a 에 의 해 현시 되 는 규칙 들을 리 용하려 면 audit2allow -a - 

M mycertwatch 지 령을 Linux root 사용자로서 실행하여 야 하며 이 지 
령 은 전용모듈을 창조합니 다 . -M 선택 항목은 현재 작업등록부안에 - 
M 으로 정의한 이름으로 형시행규칙화일 (.te) 을 창조합니다 . 

# audit2allow -a -M mycertwatch 

우 ******************* IMPORTANT *********************** 

To make this policy package active, execute: 
semodule -i mycertwatch.pp 

# Is 

mycertwatc h.pp mycertwatch. te 

또한 audit2allow 는 형시 행규칙 을 방책패키 지 (.pp) 로 콤파일합니 다 . 모 
듈을 설치하기 위 하여 /usr/sbin/semodule -i mycertwatch.pp 지 령을 Lin 
ux root 사용자로서 실 행 합니 다 . 

만일 여러 프로쎄스들로 인한 여러가지 거부사건들이 존재하지만 하 
나의 프로쎄스에 대한 전용방책 을 창조하려고 한다면 grep 지 령을 리 
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용하여 audit2allow 에 대한 입력범위를 좁힐수 있습니다 . 다음의 실례 
에서는 audit2allow 를 통하여 certwatch 와 련관된 거부사건들만을 전 
송하기 위 하여 grep 를 리 용하는 실례를 보여 줍니 다 . 


# grep certwatch /var/log/audit/audit.log I audit2allow -M mycertwatch2 
빼 ************; 유 ***** IMPORTANT *********************** 

To make this policy package active, execute| 

# /usr/sbin/semodule -i mycertwatch2.pp 

audk2allow 리 용방법 에 대 한 보다 상세 한 정 보를 서 술한 책 들이 있으 
므로 그것을 참고하면 더욱 좋습니다 . 
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